Категорії
Security

Отзыв сертификата openvpn

В данной статье пойдёт речь о том, как запретить определённым сертификатам подключаться. Такая задача может возникнуть, если например, работиник работал на дому через VPN, а потом уволился. Естественно, что ключи у него остались и он может в любой момент подключится к вашей сети и завладеть вашими данными. Это не хорошо с точки зрения безопасности.

1)Перейдём к делу.

Для этого нужно будет выполнить такие шаги:

1)cd /usr/local/etc/openvpn/easy-rsa/2.0
2)source ./vars
3)sh ./revoke-full client1     # для каждого удаляемого клиента проделываем такую операцию

Если будет выдавать ошибку error on line 282 of config file ‘….openvpn/easy-rsa/openssl.cnf’, то комментируем следующие строки в openssl.cnf:

#[ pkcs11_section ]
#engine_id = pkcs11
#dynamic_path = /usr/lib/engines/engine_pkcs11.so
#MODULE_PATH = $ENV::PKCS11_MODULE_PATH
#PIN = $ENV::PKCS11_PIN
#init = 0

и опять выполняем пункт 1.

2) Если всё хорошо, то должна появится такая строка

"Revoking Certificate ... Data Base Updated"

Иногда может вылазить такая ошибка:

error 23 at 0 depth lookup:certificate revoked

Забиваем на неё 🙂

3) Копируем только что создавшийся crl.pem на место того, который уже есть (путь к нему нужно смотреть в файле openvon.conf, параметр crl-verify) Если такого параметра нет – то добавляем его и указываем местоположение нового файла

crl-verify /usr/local/etc/openvpn/crl.pem

После этого ОБЯЗЯТЕЛЬНО ВЫСТАВЛЯЕМ ПРАВА ДЛЯ ФАЙЛА crl.pem 644, иначе работать не будет. openvpn не сможет прочесть этот файл (у меня openvpn работает от юзера nobody).

4) Делаем рестарт демона:

#/usr/local/etc/rc.d/openvpn restart

Теперь не смогут подключится те, кого мы удалили из базы.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Домашняя страничка Andy
Записки молодого админа
Самостоятельная подготовка к Cisco CCNA
Самостоятельная подготовка к Cisco CCNP
Powered by Muff