В даній статті піде мова про те, як заборонити певним сертифікатам підключатися. Таке завдання може виникнути, якщо наприклад, работінік працював на дому через VPN. а потім звільнився. Природно, що ключі у нього залишилися і він може в будь-який момент підключитися до вашої мережі і заволодіти вашими даними. Це не добре з точки зору безпеки.
Для цього потрібно буде виконати такі кроки:
1) cd /usr/local/etc/openvpn/easy-rsa/2.0
2) source ./vars
3) sh ./revoke-full client1 # для кожного видаляється клієнта проробляємо таку операцію
# [Pkcs11_section]
#engine_id = pkcs11
#dynamic_path = /usr/lib/engines/engine_pkcs11.so
#MODULE_PATH = $ ENV :: PKCS11_MODULE_PATH
#PIN = $ ENV :: PKCS11_PIN
#init = 0
і знову виконуємо пункт 1.
2) Якщо все добре, то повинна з'явиться такий рядок
"Revoking Certificate. Data Base Updated"
Іноді може вилазити така помилка:
error 23 at 0 depth lookup: certificate revoked
Забиваємо на неї 🙂
3) Копіюємо тільки що створений crl.pem на місце того, який вже є (шлях до нього потрібно дивитися в файлі openvon.conf. Параметр crl-verify) Якщо такого параметра немає - то додаємо його і вказуємо розташування нового файлу
crl-verify /usr/local/etc/openvpn/crl.pem
Після цього обязятельно виставляти ПРАВА ДЛЯ ФАЙЛА crl.pem644. інакше працювати не буде. openvpn не зможе прочитати цей файл (у мене openvpn працює від користувача nobody).
4) Робимо рестарт демона:
Тепер не зможуть підключиться ті, кого ми видалили з бази.