Инструменты пользователя

Инструменты сайта


Боковая панель

doc:sysadmin:free_os:openvpn

Заметки по OpenVPN

Источник: http://openvpn.net

OpenVPN является отличным VPN сервером, удобным и многофункциональным. В сети есть множество HowTo и мануалов как поднять и настроить. Здесь буду просто писать заметки, чтобы не забыть самому.

Отзыв сертификата

Источник: http://openvpn.net/index.php/open-source/documentation/howto.html

Итак, OpenVPN установлен во FreeBSD, ключи сгенерированы скриптами в /usr/local/share/doc/openvpn/easy-rsa/2.0/ по HowTo, ключи лежат в папке keys. Как отозвать сертификат у сотрудника, который был, например, уволен?

1. Заходим в консоль sh, вводим команды:

. ./vars
./revoke-full <имя_сертификата_который_нужно_отозвать>

На выводе будет что-то типа этого:

Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate 04.
Data Base Updated
Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
client2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/emailAddress=me@myhost.mydomain
error 23 at 0 depth lookup:certificate revoked

В папке keys получим файл crl.pem, который надо скопировать в директорию, в которую «смотрит» OpenVPN (параметр openvpn_dir=«/usr/local/etc/openvpn» в rc.conf).

2. Прописываем в конфигурационном файле OpenVPN директиву:

crl-verify /usr/local/etc/openvpn/keys/crl.pem

3. Перезапускаем OpenVPN демон, убеждаемся, что клиент с отозванным сертификатом не может подключиться.

TAG:

Обсуждение

Ваш комментарий. Вики-синтаксис разрешён:
  ____   _  __   ____   ____   __ __
 /_  /  | |/_/  / __/  / __/  / // /
  / /_ _>  <   / _/   / _/   / _  / 
 /___//_/|_|  /___/  /___/  /_//_/
 
/var/www/wiki.itcall.ru/data/pages/doc/sysadmin/free_os/openvpn.txt · Последние изменения: d.m.Y H:i (внешнее изменение)