easy rsa: CRL и отзыв сертификатов
В easy rsa отозвать сертификат безопасности можно внеся его в специальный список, который затем копируется на сервер с OpenVPN. easy rsa применяется чаще всего именно с ПО для организации защищенного соединения по небезопасной сети (про easy-rsa).
Как через easy rsa отозвать сертификат
Работа OpenVPN осуществляется при помощи сертификатов: сервера и клиента.
Запросы на сертификаты могут генерироваться на разных машинах, но подписываются они всегда приватным ключом CA.
CA с OpenVPN могут размещаться на одной машине или на разных. При условии высоких требований к безопасности сервер с CA должен быть отдельной машиной, отключенной от сети.
На сервере с CA сертификат отзывается так:
Затем нужно подтвердить отзыв введя yes
Предварительно следует перейти в ~/ca/ или другую директорию, указанную при создании CA
Чтобы сообщить OpenVPN о том, что сертификат отозван нужен CRL или certificate revocation list.
В результате будет создан файл crl.pem, он перемещается на съемном носителе (в идеале) или при помощи scp на сервер OpenVPN в /etc/openvpn/
В /etc/openvpn/server.conf добавляется опция, которая будет сообщать о необходимости проверять наличие CRL.
echo ‘crl-verify crl.pem’ >> /etc/openvpn/server.conf
Перезапускаем инстанс OpenVPN сервера
systemctl restart openvpn@server
С другими клиентами процесс можно повторять перезаписывая файл crl.pem
ФОРУМ ДЛЯ LINUX ПОЛЬЗОВАТЕЛЕЙ
Команда IT специалистов выполнит подготовку инфраструктуры для вашего бизнеса.
Внедрение самых передовых решений и технологий.
Поддержка и сопровождение ваших сервисов.
Выполнение работ под «ключ», от покупки сервера, до настройки автоматизации процессов. 8(977)608-78-62 adm@nixm.ru
Как отозвать сертификат OpenVPN в OPNSENSE
1 сообщение • Страница 1 из 1
ALEXX Администратор
Сообщения: 1308 Зарегистрирован: 21 дек 2014, 14:59 Откуда: Королёв Контактная информация:
Как отозвать сертификат OpenVPN в OPNSENSE
Сообщение ALEXX » 18 окт 2022, 15:06
1 — создаем список для отозванных сертификатов:
Выбираем ваш удостоверяющий сентр сертификат жмем плюсик, создаем CRL ( Список отозванных сертификатов)
2 — выбираем пользователя, у которого нужно отозвать сертификат:
3 — Проверяем состояние сертификата:
И только после этого, можно удалить пользователя и его сертификат.
1 сообщение • Страница 1 из 1
- Новости из мира Linux
- ↳ Новости из мира Linux
- RPM Distributions
- ↳ Fedora
- ↳ Установка и обновление системы
- ↳ Fedora Server
- ↳ Настройка Железа
- ↳ Ноутбуки
- ↳ Видеокарты
- ↳ Звуковые карты
- ↳ Сетевые карты
- ↳ Периферия
- ↳ Установка программ
- ↳ Мультимедиа
- ↳ Игры
- ↳ Решаем трудности вместе
- ↳ CentOS
- ↳ Установка и обновление системы
- ↳ Настройка Железа
- ↳ Ноутбуки
- ↳ Видеокарты
- ↳ Звуковые карты
- ↳ Сетевые карты
- ↳ Периферия
- ↳ Установка программ
- ↳ Мультимедиа
- ↳ Игры
- ↳ Решаем трудности вместе
- ↳ AlmaLinux
- ↳ Установка и обновление системы
- ↳ Настройка Железа
- ↳ Установка программ
- ↳ Решаем трудности вместе
- DEB Distributions
- ↳ Debian
- ↳ Установка и обновление системы
- ↳ Настройка Железа
- ↳ Ноутбуки
- ↳ Видеокарты
- ↳ Звуковые карты
- ↳ Сетевые карты
- ↳ Периферия
- ↳ Установка программ
- ↳ Мультимедиа
- ↳ Игры
- ↳ Решаем трудности вместе
- ↳ Linux Mint
- ↳ Установка и обновление системы
- ↳ Настройка Железа
- ↳ Ноутбуки
- ↳ Видеокарты
- ↳ Звуковые карты
- ↳ Сетевые карты
- ↳ Периферия
- ↳ Установка программ
- ↳ Мультимедиа
- ↳ Игры
- ↳ Решаем трудности вместе
- ↳ Ubuntu
- ↳ Установка и обновление системы
- ↳ Ubuntu Server
- ↳ Kubuntu
- ↳ Другие версии Ubuntu
- ↳ Настройка Железа
- ↳ Ноутбуки
- ↳ Видеокарты
- ↳ Звуковые карты
- ↳ Сетевые карты
- ↳ Периферия
- ↳ Установка программ
- ↳ Мультимедиа
- ↳ Игры
- ↳ Решаем трудности вместе
- ANDROID
- UNIX LIKE
- ↳ MAC OS
- ↳ BSD
- ОСТАЛЬНЫЕ ДИСТРИБУТИВЫ
- ↳ Вопросы по остальным операционным системам Linux
- ↳ Российские дистрибутивы
- ↳ SUSE
- ↳ Установка и обновление системы
- ↳ SLES (Server)
- ↳ Настройка Железа
- ↳ Ноутбуки
- ↳ Видеокарты
- ↳ Звуковые карты
- ↳ Сетевые карты
- ↳ Периферия
- ↳ Установка программ
- ↳ Мультимедиа
- ↳ Игры
- ↳ Решаем трудности вместе
- ↳ Gentoo Linux
- Общие темы
- ↳ Уголок разработчика
- ↳ Bash
- ↳ C/C++
- ↳ Python
- ↳ Другие языки
- ↳ Графические библиотеки
- ↳ Gtk
- ↳ Qt
- ↳ Остальные
- ↳ Игры
- ↳ Steam
- ↳ Wine
- ↳ Остальные
- ↳ Литература по Linux
- ↳ DE и оконные менеджеры
- ↳ KDE
- ↳ MATE
- ↳ GNOME
- ↳ Cinnamon
- ↳ Unity
- ↳ LXDE
- ↳ XFCE
- ↳ Командная строка
- ↳ Ядро, модули и конфигурация
- ↳ Программы в Linux
- ↳ Виртуализация
- ↳ Сети. Настройка и администрирование
- ↳ Железный вопрос. Производительность и оптимизация
- ↳ Серверы
- ↳ Разное
- ↳ Правила
- ↳ DOCKER/kubernetes
- Беседка
- ↳ Флудилка
- ↳ Поднимаем настроение (IT/Linux юмор)
- ↳ Мероприятия
- ↳ Сообщения об ошибках пожелания к форуму
- IT УСЛУГИ, СВЯЗЬ
- ↳ Сайты
- ↳ Проектирование и монтаж сетей
- ↳ Интернет и телефония
- ↳ Программное обеспечение
- ↳ Обслуживание компьютерного оборудования
- ПОКУПКА ПРОДАЖА
- ↳ Компьютеры, комплектующие, программное обеспечение
- ↳ Продам ПК в сборе
- ↳ Куплю ПК в сборе
- ↳ Продам ноутбук
- ↳ Куплю ноутбук
- ↳ Продам комплектующие для стационарных ПК
- ↳ Куплю комплектующие для стационарных ПК
- ↳ Продам комплектующие для ноутбуков
- ↳ Куплю комплектующие для ноутбуков
- ↳ Продам монитор
- ↳ Куплю монитор
- ↳ Продам принтер/сканер/мфу/факс
- ↳ Куплю принтер/сканер/мфу/факс
- ↳ Продам/Куплю сетевое/коммутационное оборудование
- ↳ Продам/Куплю клавиатуру/мышь/игровые контроллеры
- ↳ Продам/Куплю периферию (прочее)
- ↳ Неисправное компьютерное железо
- ↳ Мобильные устройства
- ↳ Продам/Куплю Apple iPhone
- ↳ Продам/Куплю Samsung
- ↳ Продам/Куплю HTC
- ↳ Продам/Куплю ZTE
- ↳ Продам/Куплю Huawei
- ↳ Продам/Куплю Xiaomi
- ↳ Продам/Куплю OnePlus
- ↳ Продам/Куплю Honor
- ↳ Продам/Куплю Meizu
- ↳ Продам/Куплю Sony
- ↳ Продам/Куплю Nokia
- ↳ Продам/Куплю другие бренды
- ↳ Прочие мобильные устройства
- ↳ Мобильные аксессуары и гаджеты
- ↳ Неисправная техника
- ↳ Multimedia
- ↳ Покупка/Продажа Аудиотехника
- ↳ Покупка/Продажа Видеотехника
- ↳ Покупка/Продажа Портативная аудио и видеотехника
- ↳ Покупка/Продажа Фотоаппараты и видеокамеры
- ↳ Покупка/Продажа Музыкальные инструменты
- ↳ Покупка/Продажа Оборудование для концертов, дискотек, студий
- ↳ Покупка/Продажа Игровые приставки (консоли)
- ↳ Неисправные устройства Multimedia и запчасти
- Помойка
- Список форумов
- Часовой пояс: UTC+03:00
- Удалить cookies
- Связаться с администрацией
Создано на основе phpBB® Forum Software © phpBB Limited
Prosilver Dark Edition by Premium phpBB Styles
Записки IT специалиста
Система клиентского доступа в OpenVPN построена вокруг инфраструктуры открытых ключей (PKI) и основным средством идентификации пользователя является сертификат. Располагая действительным сертификатом клиент может подключиться к любому серверу, использующему сертификаты вашего центра сертификации (CA). Если доступ пользователя необходимо прекратить, то выданный ему сертификат следует отозвать. В данной статье мы рассмотрим процесс отзыва сертификатов для различных версий Easy-RSA на платформах Windows и Linux, а также настройку OpenVPN севера для проверки сертификатов на отзыв.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Easy-RSA 2 Linux
Вторая версия Easy-RSA наиболее часто используется совместно с OpenVPN, так как входит в состав большинства актуальных на данный момент дистритбутивов. В нашем случае будет рассматриваться Ubuntu 18.04, но серьезных отличий с иными Linux системами нет, так как Easy-RSA это просто набор скриптов, облегачающий работу с OpenSSL.
Обычно корневая директория PKI находится в каталоге настроек OpenVPN — /etc/openvpn/easy-rsa, здесь и далее примем такое расположение как умолчание. Прежде чем выполнять отзыв, Easy-RSA потребуется немного настроить, откройте файл @openssl.conf и приведите к следующему виду строку:
RANDFILE = /etc/openvpn/easy-rsa/keys/.rnd
Ниже найдите опцию, которая задает срок действия списка отозванных сертификатов, по умолчанию это 30 дней, после чего его нужно будет перевыпустить, имеет смысл установить более длительный срок:
default_crl_days= 30
Сохраните изменения, после чего создайте указанный файл:
touch /etc/openvpn/easy-rsa/keys/.rnd
Теперь можно приступать к отзыву, для этих целей используется скрипт revoke-full. Перейдем в директорию Easy-RSA:
cd /etc/openvpn/easy-rsa
source ./vars
И выполним отзыв, для этого нам нужно знать CN (Commom Name) сертификата, в нашем случае это ivanov:
./revoke-full ivanov
Сообщение:
error 23 at 0 depth lookup: certificate revoked
не является ошибкой! Оно сообщает о том, что проверка сертификата не увенчалась успехом по причине его отзыва.
После выполнения данной команды впервые в каталоге /etc/openvpn/easy-rsa/keys появится файл crl.pem — список отозванных сертификатов. Данный файл будет обновляться после каждого успешного отзыва.
Easy-RSA 2 Windows
В Windows никаких дополнительных настроек производить не нужно, однако также рекомендуется увеличить срок действия CRL. Каталог Easy-RSA обычно располагается внутри каталога установки OpenVPN, по умолчанию это C:\Program Files\OpenVPN\easy-rsa. Для измненения срока действия откройте файл openssl-1.0.0.cnf и измените опцию, указав нужное количество дней:
default_crl_days= 30
Затем перейдем в каталог Easy-RSA (так как он является системным, то командная строка должна быть запущена от имени Администратора):
cd "C:\Program Files\OpenVPN\easy-rsa"
vars
revoke-full ivanov
Результатом выполнения команды также будет создание или обновление файла списка отозванных сертификатов — crl.pem.
Easy-RSA 3 Linux
Новая версия Easy-RSA пока не имеет широкого распространения и присутствует в ограниченном количестве новых дистрибутивов, в частности в Debian 10. Приемы работы с ней значительно отличаются от Easy-RSA 2 и мы посвящали этому отдельную статью, в которой рассматривали в том числе и отзыв сертификатов.
В Easy-RSA 3 для отзыва сертификатов и создания/обновления списка отозванных сертификатов предназначены разные команды, поэтому вы можете сформировать CRL заранее и подключить его к конфигурации OpenVPN не дожидаясь отзыва.
Будем также считать, что директория Easy-RSA расположена в /etc/openvpn/easy-rsa, сразу перейдем в нее:
cd /etc/openvpn/easy-rsa
Откроем файл vars, найдем и раскомментируем в нем следующую опцию, которая задает срок действия CRL, по умолчанию установлено 180 дней, укажите нужное вам значение:
set_var EASYRSA_CRL_DAYS 180
Затем сформируем список отозванных сертификатов:
./easyrsa gen-crl
Итогом выполнения данной команды будет появление файла crl.pem в директории pki.
Для отзыва сертификата выполните (предварительно перейдя в директорию Easy-RSA):
./easyrsa revoke ivanov
В данном случае вам потребуется явно подтвердить отзыв, введя yes на запрос утилиты.
После отзыва сертификата вам потребуется обновить список CRL, для этого еще раз выполните:
./easyrsa gen-crl
Еще раз напомним, что для отзыва сертификатов мы должны указать их CN, поэтому при их создании задавайте им осмысленные имена, чтобы потом не пришлось угадывать, как называется сертификат Иванова: client123, client231 или client321. Также помните о том, что отзыв сертификата — действие необратимое, даже если вы повторно выпустите сертификат с этим же именем (CN), это будет совсем другой сертификат, который придется заново выдать пользователю.
Настройка OpenVPN для работы со списком отозванных сертификатов (CRL)
После того, как вы создали или обновили CRL (файл crl.pem) его следует скопировать в директорию с ключами OpenVPN сервера, это действие следует повторять после каждого отзыва сертификата (и обновления файла crl.pem).
Затем откроем конфигурацию сервера OpenVPN и добавим туда директиву, отвечающую за проверку отозванных сертификатов. В Linux:
crl-verify keys/crl.pem
В данном случае подразумевается, что ключи и CRL находятся в директории /etc/openvpn/keys.
crl-verify "C:\\Program Files\\OpenVPN\\keys\\crl.pem"
Здесь мы также подразумеваем расположение каталогов по умолчанию, если это не так, то пути следует отредактировать.
При обновлении списка отозванных сертификатов достаточно просто скопировать с заменой файл crl.pem, если серверов несколько, то это нужно сделать на каждом из них.
После чего обязательно перезапустите службу OpenVPN сервера. Это нужно сделать потому, что OpenVPN перечитывает CRL один раз в час и в течении этого времени клиенты с отозванными сертификатами смогут продолжать подключаться и работать. В Linuх для этого выполните:
service openvpn restart
В Windows воспользуйтесь штатной оснасткой Службы.
Для клиента с отозванным сертификатом процесс подключения будет «зависать» на этапе согласования ключей и через 60 секунд выдавать в лог сообщение:
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
При этом клиент будет продолжать попытки подключения в соответствии со значениями опции keepalive. Если используется GUI, то клиент будет «вечно» висеть в желтом цвете.
Чтобы ограничить число переподключений используйте в конфигурации клиента опцию:
connect-retry-max 25
Которая задает максимальное количество переподключений, в данном случае 25, однако вы должны указать ее заранее, передать на клиента с отозванным сертификатом вы ее не сможете. Мы рекомендуем всегда использовать эту опцию, когда вы настраиваете OpenVPN клиент на узлах, которые вы не контролируете, например, на домашних ПК или ноутбуках сотрудников.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Дополнительные материалы:
- Настраиваем VPN. Часть 1 — Общие вопросы
- Настраиваем VPN. Часть 2 — Cтруктура сети
- Настраиваем VPN сервер. Часть 3 — PPTP. Платформа Linux
- Настраиваем VPN сервер. Часть 4 — PPTP. Платформа Windows
- Настраиваем VPN сервер. Часть 5 — L2TP. Платформа Windows
- Ubuntu Server. Форвардинг PPTP средствами iptables
- Организация VPN каналов между офисами при помощи OpenVPN
- Организация каналов между офисами при помощи OpenVPN с дополнительной парольной защитой
- Организация VPN каналов между офисами. Маршрутизация
- Организация каналов между офисами при помощи OpenVPN на платформе Linux
- Настройка OpenVPN-сервера для доступа в интернет
- Настройка двух и более OpenVPN-серверов на одном сервере
- Почему тормозит OpenVPN? Размер буферов приема и отправки
- Как настроить несколько одновременных OpenVPN подключений в Windows
- SSH-туннели на службе системного администратора
- Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3
- Настройка OpenVPN-сервера на роутерах Mikrotik
- Настройка VPN-подключения в роутерах Mikrotik
- OpenVPN объединяем ключи и конфигурацию клиента в один файл
- OpenVPN и инфраструктура открытых ключей (PKI)
- Настройка OpenVPN-сервера на роутерах Mikrotik
- Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам
- Настраиваем PPTP или L2TP VPN-сервер при помощи RRAS в Windows Server
- Автоматическое добавление маршрутов для VPN-соединения в Windows
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Или подпишись на наш Телеграм-канал:
Множественный отзыв сертификатов в OpenVpn?
и понятно в конфиг сервера указать
crl-verify crl.pem
)
с именем клиента и переместить файл crl.pem в директорию /etc/openvpn, это понятно, вопрос в другом:
1) если я к примеру отозвал сертификат client1,прошло время и мне необходимо отозвать сертификат client2,я должен вводить команду revoke-full для обоих клиентов, или только для одного нового,а старый сохранится в списке?
2) Также интересует вопрос, если создать сертификат для уже существующего имени :
a) действительного сертификата
b) отозванного сертификата
Что будет происходить?В обоих случаях доступ по старому сертификату станет недоступен?
3) На сколько мне известно по умолчанию одновременный доступ по одному сертификату разрешен только с одного устройства,это верно?
- Вопрос задан более трёх лет назад
- 1251 просмотр
Комментировать
Решения вопроса 1
Добрый день, запоздалый ответ, но мб кому то поможет.
1. При отзыве сертификата создается запись в index.txt, проставляется признак R и дата отзыва сертификата. Т.е. client1 уже отозван и повторная процедура не требуется.
2. а) при активном ключе уникального имени дублирующая запись не создастся. б) если вы правильно отозвали сертификат, то клиент в любом случае не подключится, а новый создастся и будет работать, ему будет присвоен новый сертификат.
3. Можно пытаться подключиться с нескольких устройств, но из-за конфликта ip адресов работать по ним не получится.
Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Ответы на вопрос 0
Ваш ответ на вопрос
Войдите, чтобы написать ответ
- Android
- +2 ещё
Как включить VPN для определенных приложений на андройд OpenVPN?
- 2 подписчика
- вчера
- 94 просмотра