Отзыв клиентских сертификатов
Иногда вам может потребоваться отозвать сертификат клиента, чтобы предотвратить дальнейший доступ к серверу OpenVPN.
Для этого перейдите в каталог EasyRSA на вашем компьютере CA:
cd EasyRSA-3.0.8/
Затем запустите easyrsaсценарий с revokeпараметром, за которым следует имя клиента, которое вы хотите отозвать:
./easyrsa revoke client2
Вам будет предложено подтвердить отзыв, введя yes:
Please confirm you wish to revoke the certificate with the following subject:
subject=
commonName = client2
Type the word 'yes' to continue, or any other input to abort.
Continue with revocation: yes
После подтверждения действия ЦС полностью отзовет сертификат клиента. Однако ваш сервер OpenVPN в настоящее время не имеет возможности проверить, были ли отозваны какие-либо сертификаты клиентов, и у клиента по-прежнему будет доступ к VPN. Чтобы исправить это, создайте список отзыва сертификатов (CRL) на вашем компьютере CA:
./easyrsa gen-crl
Это создаст файл с именем crl.pem. Безопасно перенесите этот файл на свой сервер OpenVPN:
scp ~/EasyRSA-3.0.8/pki/crl.pem sammy@your_server_ip:/tmp
На своем сервере OpenVPN скопируйте этот файл в свой /etc/openvpn/каталог:
sudo cp /tmp/crl.pem /etc/openvpn
Затем откройте файл конфигурации сервера OpenVPN:
sudo nano /etc/openvpn/server.conf
Внизу файла добавьте crl-verifyпараметр, который будет указывать серверу OpenVPN проверять список отзыва сертификатов, который мы создали каждый раз при попытке подключения:
crl-verify crl.pem
Сохраните и закройте файл.
Наконец, перезапустите OpenVPN, чтобы реализовать отзыв сертификата:
sudo systemctl restart openvpn@server
Клиент больше не сможет успешно подключаться к серверу с использованием старых учетных данных.
Чтобы отозвать дополнительных клиентов, выполните следующие действия:
- Отозвать сертификат командой
./easyrsa revoke client_name - Создать новый CRL
- Перенесите новый
crl.pemфайл на свой сервер OpenVPN и скопируйте его в/etc/openvpnкаталог, чтобы перезаписать старый список. - Перезапустите службу OpenVPN.
Вы можете использовать этот процесс, чтобы отозвать любые сертификаты, которые вы ранее выпустили для своего сервера.