[FUG-BR] Arquivos .pem do openvpn
Marcio Rufino
marciorufino01 em gmail.com
Quarta Outubro 9 12:43:11 BRT 2013
Claudio,
faço exatamente isso para revogar um certificado.
Até agora não vi sentido em manter o arquivo .pem do usuário, já que após
revogar, o certificado não funcionara novamente.
Em 9 de outubro de 2013 11:57, Claudio Pereira
<claudiopereira em gmail.com>escreveu:
> 2013/10/8 Marcio Rufino <marciorufino01 em gmail.com>
>
> > Após criar um usuário no openvpn é criado também o arquivo .pem.
> > Quando revogo um certificado, deleto o .crt, .csr e .key do usuario.
> > Nesse caso tenho q revogar o .pem também?
> > Se sim, como identifico qual o .pem do usuário?
> >
> >
> Eu não costumo apagar esses arquivos, apenas revogo o certificado do
> cliente.
>
> # cd /etc/openvpn/easy-rsa
> # source vars
>
> Execute o comando "revoke-full", especificando o certificado que será
> revogado, como em:
> # ./revoke-full cliente1
>
> Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
> Revoking Certificate 08.
> Data Base Updated
> Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
> cliente1.crt: /C=BR/ST=SP/O=GDH/CN=cliente1/emailAddress=foo em bar.com
> error 23 at 0 depth lookup:certificate revoked
>
> A mensagem "error 23" indica que o certificado foi revogado com sucesso, ou
> seja, ela não é exatamente uma mensagem de erro e sim uma confirmação.
>
> O comando gera o arquivo "*crl.pem*", dentro do diretório
> "/etc/openvpn/easy-rsa/keys". O próximo passo é copiar o arquivo para o
> diretório "*/etc/openvpn/keys*" do servidor, a mesma pasta utilizada pelos
> arquivos com os certificados.
>
> Para que ele passe a ser utilizado pelo OpenVPN, adicione o parâmetro
> "crl-verify" na configuração do servidor, especificando a localização do
> arquivo, como em:
> crl-verify /etc/openvpn/keys/crl.pem
>
> Para que a alteração entre em vigor, reinicie o OpenVPN:
> # /etc/init.d/openvpn restart
>
>
> Com isso, o cliente perde imediatamente o acesso à VPN e passa a receber um
> erro "TLS Error: TLS handshake failed" ao tentar se conectar novamente.
>
> Para revogar mais chaves, repita o processo, não se esquecendo de copiar o
> arquivo atualizado para a pasta "/etc/openvpn/keys" do servidor a cada
> alteração. Se você está gerando as chaves usando o próprio servidor, pode
> também especificar diretamente o arquivo na pasta
> "/etc/openvpn/easy-rsa/keys" na opção; assim você elimina a necessidade de
> copiar manualmente o arquivo a cada alteração. Um exemplo de configuração
> seria:
> crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
>
> Para que o OpenVPN leia o arquivo atualizado, use o parâmetro "reload" do
> serviço. Isso atualiza a configuração sem derrubar os clientes conectados:
> # /etc/init.d/openvpn reload
>
> Fonte: http://www.hardware.com.br/tutoriais/openvpn_2/pagina5.html
>
> Abraços, ÍndioX
> --
> Claudio P Costa
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd