Заметки по OpenVPN

Источник: http://openvpn.net

OpenVPN является отличным VPN сервером, удобным и многофункциональным. В сети есть множество HowTo и мануалов как поднять и настроить. Здесь буду просто писать заметки, чтобы не забыть самому.

Отзыв сертификата

Источник: http://openvpn.net/index.php/open-source/documentation/howto.html

Итак, OpenVPN установлен во FreeBSD, ключи сгенерированы скриптами в /usr/local/share/doc/openvpn/easy-rsa/2.0/ по HowTo, ключи лежат в папке keys. Как отозвать сертификат у сотрудника, который был, например, уволен?

1. Заходим в консоль sh, вводим команды:

. ./vars
./revoke-full <имя_сертификата_который_нужно_отозвать>

На выводе будет что-то типа этого:

Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate 04.
Data Base Updated
Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
client2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/emailAddress=me@myhost.mydomain
error 23 at 0 depth lookup:certificate revoked

В папке keys получим файл crl.pem, который надо скопировать в директорию, в которую «смотрит» OpenVPN (параметр openvpn_dir=«/usr/local/etc/openvpn» в rc.conf).

2. Прописываем в конфигурационном файле OpenVPN директиву:

crl-verify /usr/local/etc/openvpn/keys/crl.pem

3. Перезапускаем OpenVPN демон, убеждаемся, что клиент с отозванным сертификатом не может подключиться.

TAG: