Множественный отзыв сертификатов в OpenVpn?

Question

[m5xim]

Здравствуйте! Есть вопрос по поводу отзыва сертификатов клиентов в OpenVpn.В мануале Мануал написано для отзыва сертификата использовать команду revoke-full
(

cd ~/openvpn-ca
source vars
./revoke-full clientname
sudo cp ~/openvpn-ca/keys/crl.pem /etc/openvpn

и понятно в конфиг сервера указать
crl-verify crl.pem
)
с именем клиента и переместить файл crl.pem в директорию /etc/openvpn, это понятно, вопрос в другом:
1) если я к примеру отозвал сертификат client1,прошло время и мне необходимо отозвать сертификат client2,я должен вводить команду revoke-full для обоих клиентов, или только для одного нового,а старый сохранится в списке?
2) Также интересует вопрос, если создать сертификат для уже существующего имени :
a) действительного сертификата
b) отозванного сертификата
Что будет происходить?В обоих случаях доступ по старому сертификату станет недоступен?
3) На сколько мне известно по умолчанию одновременный доступ по одному сертификату разрешен только с одного устройства,это верно?

Answer 1

[tbob]

Добрый день, запоздалый ответ, но мб кому то поможет.
1. При отзыве сертификата создается запись в index.txt, проставляется признак R и дата отзыва сертификата. Т.е. client1 уже отозван и повторная процедура не требуется.
2. а) при активном ключе уникального имени дублирующая запись не создастся. б) если вы правильно отозвали сертификат, то клиент в любом случае не подключится, а новый создастся и будет работать, ему будет присвоен новый сертификат.
3. Можно пытаться подключиться с нескольких устройств, но из-за конфликта ip адресов работать по ним не получится.