7. Отзыв клиентских сертификатов на вашем компьютере CA

Отзыв клиентских сертификатов

Иногда вам может потребоваться отозвать сертификат клиента, чтобы предотвратить дальнейший доступ к серверу OpenVPN.

Для этого перейдите в каталог EasyRSA на вашем компьютере CA:

cd EasyRSA-3.0.8/

Затем запустите easyrsaсценарий с revokeпараметром, за которым следует имя клиента, которое вы хотите отозвать:

./easyrsa revoke client2

Вам будет предложено подтвердить отзыв, введя yes:

Output
Please confirm you wish to revoke the certificate with the following subject:

subject=
    commonName                = client2


Type the word 'yes' to continue, or any other input to abort.
  Continue with revocation: yes

После подтверждения действия ЦС полностью отзовет сертификат клиента. Однако ваш сервер OpenVPN в настоящее время не имеет возможности проверить, были ли отозваны какие-либо сертификаты клиентов, и у клиента по-прежнему будет доступ к VPN. Чтобы исправить это, создайте список отзыва сертификатов (CRL) на вашем компьютере CA:

./easyrsa gen-crl

Это создаст файл с именем crl.pemБезопасно перенесите этот файл на свой сервер OpenVPN:

scp ~/EasyRSA-3.0.8/pki/crl.pem sammy@your_server_ip:/tmp

На своем сервере OpenVPN скопируйте этот файл в свой /etc/openvpn/каталог:

sudo cp /tmp/crl.pem /etc/openvpn

Затем откройте файл конфигурации сервера OpenVPN:

sudo nano /etc/openvpn/server.conf

Внизу файла добавьте crl-verifyпараметр, который будет указывать серверу OpenVPN проверять список отзыва сертификатов, который мы создали каждый раз при попытке подключения:

/etc/openvpn/server.conf
crl-verify crl.pem

Сохраните и закройте файл.

Наконец, перезапустите OpenVPN, чтобы реализовать отзыв сертификата:

sudo systemctl restart openvpn@server

Клиент больше не сможет успешно подключаться к серверу с использованием старых учетных данных.

Чтобы отозвать дополнительных клиентов, выполните следующие действия:

  1. Отозвать сертификат командой./easyrsa revoke client_name
  2. Создать новый CRL
  3. Перенесите новый crl.pemфайл на свой сервер OpenVPN и скопируйте его в /etc/openvpnкаталог, чтобы перезаписать старый список.
  4. Перезапустите службу OpenVPN.

Вы можете использовать этот процесс, чтобы отозвать любые сертификаты, которые вы ранее выпустили для своего сервера.

  • 0 Bu dökümanı faydalı bulan kullanıcılar:
Bu cevap yeterince yardımcı oldu mu?

İlgili diğer dökümanlar

1. Первоначальная настройка debian 9 для OpenVPN

Первоначальная установка сервера с Debian 9 Узнать больше Когда вы впервые...

3. Создание сертификата сервера, ключа и файлов шифрования

Шаг 3 - Создание сертификата сервера, ключа и файлов шифрования Теперь, когда у вас есть готовый...

4. Создание сертификата клиента и пары ключей

Шаг 4 - Создание сертификата клиента и пары ключей Хотя вы можете сгенерировать закрытый ключ и...

5.Настройка службы OpenVPN

Шаг 5 - Настройка службы OpenVPN Теперь, когда сертификаты и ключи вашего клиента и сервера...

6. Запуск сервера OpenVPN

Шаг 6 - Настройка сетевой конфигурации сервера Есть некоторые аспекты сетевой конфигурации...