====== Заметки по OpenVPN ======

Источник: http://openvpn.net

OpenVPN является отличным VPN сервером, удобным и многофункциональным. В сети есть множество HowTo и мануалов как поднять и настроить. Здесь буду просто писать заметки, чтобы не забыть самому.

===== Отзыв сертификата =====

Источник: http://openvpn.net/index.php/open-source/documentation/howto.html

Итак, OpenVPN установлен во FreeBSD, ключи сгенерированы скриптами в /usr/local/share/doc/openvpn/easy-rsa/2.0/ по HowTo, ключи лежат в папке keys.
Как отозвать сертификат у сотрудника, который был, например, уволен?

**1.** Заходим в консоль sh, вводим команды:
<code>
. ./vars
./revoke-full <имя_сертификата_который_нужно_отозвать>
</code>
На выводе будет что-то типа этого:
<code>
Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate 04.
Data Base Updated
Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
client2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/emailAddress=me@myhost.mydomain
error 23 at 0 depth lookup:certificate revoked
</code>
В папке keys получим файл crl.pem, который надо скопировать в директорию, в которую "смотрит" OpenVPN (параметр openvpn_dir="/usr/local/etc/openvpn" в rc.conf).

**2.** Прописываем в конфигурационном файле OpenVPN директиву:
<code>
crl-verify /usr/local/etc/openvpn/keys/crl.pem
</code> 

**3.** Перезапускаем OpenVPN демон, убеждаемся, что клиент с отозванным сертификатом не может подключиться.


TAG: {{tag>openvpn sysadmin }}

~~DISCUSSION~~