2013/10/8 Marcio Rufino <[email protected]> > Após criar um usuário no openvpn é criado também o arquivo .pem. > Quando revogo um certificado, deleto o .crt, .csr e .key do usuario. > Nesse caso tenho q revogar o .pem também? > Se sim, como identifico qual o .pem do usuário? > > Eu não costumo apagar esses arquivos, apenas revogo o certificado do cliente.
# cd /etc/openvpn/easy-rsa # source vars Execute o comando "revoke-full", especificando o certificado que será revogado, como em: # ./revoke-full cliente1 Using configuration from /etc/openvpn/easy-rsa/openssl.cnf Revoking Certificate 08. Data Base Updated Using configuration from /etc/openvpn/easy-rsa/openssl.cnf cliente1.crt: /C=BR/ST=SP/O=GDH/CN=cliente1/[email protected] error 23 at 0 depth lookup:certificate revoked A mensagem "error 23" indica que o certificado foi revogado com sucesso, ou seja, ela não é exatamente uma mensagem de erro e sim uma confirmação. O comando gera o arquivo "*crl.pem*", dentro do diretório "/etc/openvpn/easy-rsa/keys". O próximo passo é copiar o arquivo para o diretório "*/etc/openvpn/keys*" do servidor, a mesma pasta utilizada pelos arquivos com os certificados. Para que ele passe a ser utilizado pelo OpenVPN, adicione o parâmetro "crl-verify" na configuração do servidor, especificando a localização do arquivo, como em: crl-verify /etc/openvpn/keys/crl.pem Para que a alteração entre em vigor, reinicie o OpenVPN: # /etc/init.d/openvpn restart Com isso, o cliente perde imediatamente o acesso à VPN e passa a receber um erro "TLS Error: TLS handshake failed" ao tentar se conectar novamente. Para revogar mais chaves, repita o processo, não se esquecendo de copiar o arquivo atualizado para a pasta "/etc/openvpn/keys" do servidor a cada alteração. Se você está gerando as chaves usando o próprio servidor, pode também especificar diretamente o arquivo na pasta "/etc/openvpn/easy-rsa/keys" na opção; assim você elimina a necessidade de copiar manualmente o arquivo a cada alteração. Um exemplo de configuração seria: crl-verify /etc/openvpn/easy-rsa/keys/crl.pem Para que o OpenVPN leia o arquivo atualizado, use o parâmetro "reload" do serviço. Isso atualiza a configuração sem derrubar os clientes conectados: # /etc/init.d/openvpn reload Fonte: http://www.hardware.com.br/tutoriais/openvpn_2/pagina5.html Abraços, ÍndioX -- Claudio P Costa ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
