Источник: http://openvpn.net
OpenVPN является отличным VPN сервером, удобным и многофункциональным. В сети есть множество HowTo и мануалов как поднять и настроить. Здесь буду просто писать заметки, чтобы не забыть самому.
Источник: http://openvpn.net/index.php/open-source/documentation/howto.html
Итак, OpenVPN установлен во FreeBSD, ключи сгенерированы скриптами в /usr/local/share/doc/openvpn/easy-rsa/2.0/ по HowTo, ключи лежат в папке keys. Как отозвать сертификат у сотрудника, который был, например, уволен?
1. Заходим в консоль sh, вводим команды:
. ./vars ./revoke-full <имя_сертификата_который_нужно_отозвать>
На выводе будет что-то типа этого:
Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" Revoking Certificate 04. Data Base Updated Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" client2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/emailAddress=me@myhost.mydomain error 23 at 0 depth lookup:certificate revoked
В папке keys получим файл crl.pem, который надо скопировать в директорию, в которую «смотрит» OpenVPN (параметр openvpn_dir=«/usr/local/etc/openvpn» в rc.conf).
2. Прописываем в конфигурационном файле OpenVPN директиву:
crl-verify /usr/local/etc/openvpn/keys/crl.pem
3. Перезапускаем OpenVPN демон, убеждаемся, что клиент с отозванным сертификатом не может подключиться.
TAG: