В данной статье пойдёт речь о том, как запретить определённым сертификатам подключаться. Такая задача может возникнуть, если например, работиник работал на дому через VPN, а потом уволился. Естественно, что ключи у него остались и он может в любой момент подключится к вашей сети и завладеть вашими данными. Это не хорошо с точки зрения безопасности.
1)Перейдём к делу.
Для этого нужно будет выполнить такие шаги:
1)cd /usr/local/etc/openvpn/easy-rsa/2.0
2)source ./vars
3)sh ./revoke-full client1 # для каждого удаляемого клиента проделываем такую операцию
Если будет выдавать ошибку error on line 282 of config file ‘….openvpn/easy-rsa/openssl.cnf’, то комментируем следующие строки в openssl.cnf:
#[ pkcs11_section ]
#engine_id = pkcs11
#dynamic_path = /usr/lib/engines/engine_pkcs11.so
#MODULE_PATH = $ENV::PKCS11_MODULE_PATH
#PIN = $ENV::PKCS11_PIN
#init = 0
и опять выполняем пункт 1.
2) Если всё хорошо, то должна появится такая строка
"Revoking Certificate ... Data Base Updated"
Иногда может вылазить такая ошибка:
error 23 at 0 depth lookup:certificate revoked
Забиваем на неё 🙂
3) Копируем только что создавшийся crl.pem на место того, который уже есть (путь к нему нужно смотреть в файле openvon.conf, параметр crl-verify) Если такого параметра нет – то добавляем его и указываем местоположение нового файла
crl-verify /usr/local/etc/openvpn/crl.pem
После этого ОБЯЗЯТЕЛЬНО ВЫСТАВЛЯЕМ ПРАВА ДЛЯ ФАЙЛА crl.pem 644, иначе работать не будет. openvpn не сможет прочесть этот файл (у меня openvpn работает от юзера nobody).
4) Делаем рестарт демона:
#/usr/local/etc/rc.d/openvpn restart
Теперь не смогут подключится те, кого мы удалили из базы.
