Claudio, faço exatamente isso para revogar um certificado. Até agora não vi sentido em manter o arquivo .pem do usuário, já que após revogar, o certificado não funcionara novamente.
Em 9 de outubro de 2013 11:57, Claudio Pereira <[email protected]>escreveu: > 2013/10/8 Marcio Rufino <[email protected]> > > > Após criar um usuário no openvpn é criado também o arquivo .pem. > > Quando revogo um certificado, deleto o .crt, .csr e .key do usuario. > > Nesse caso tenho q revogar o .pem também? > > Se sim, como identifico qual o .pem do usuário? > > > > > Eu não costumo apagar esses arquivos, apenas revogo o certificado do > cliente. > > # cd /etc/openvpn/easy-rsa > # source vars > > Execute o comando "revoke-full", especificando o certificado que será > revogado, como em: > # ./revoke-full cliente1 > > Using configuration from /etc/openvpn/easy-rsa/openssl.cnf > Revoking Certificate 08. > Data Base Updated > Using configuration from /etc/openvpn/easy-rsa/openssl.cnf > cliente1.crt: /C=BR/ST=SP/O=GDH/CN=cliente1/[email protected] > error 23 at 0 depth lookup:certificate revoked > > A mensagem "error 23" indica que o certificado foi revogado com sucesso, ou > seja, ela não é exatamente uma mensagem de erro e sim uma confirmação. > > O comando gera o arquivo "*crl.pem*", dentro do diretório > "/etc/openvpn/easy-rsa/keys". O próximo passo é copiar o arquivo para o > diretório "*/etc/openvpn/keys*" do servidor, a mesma pasta utilizada pelos > arquivos com os certificados. > > Para que ele passe a ser utilizado pelo OpenVPN, adicione o parâmetro > "crl-verify" na configuração do servidor, especificando a localização do > arquivo, como em: > crl-verify /etc/openvpn/keys/crl.pem > > Para que a alteração entre em vigor, reinicie o OpenVPN: > # /etc/init.d/openvpn restart > > > Com isso, o cliente perde imediatamente o acesso à VPN e passa a receber um > erro "TLS Error: TLS handshake failed" ao tentar se conectar novamente. > > Para revogar mais chaves, repita o processo, não se esquecendo de copiar o > arquivo atualizado para a pasta "/etc/openvpn/keys" do servidor a cada > alteração. Se você está gerando as chaves usando o próprio servidor, pode > também especificar diretamente o arquivo na pasta > "/etc/openvpn/easy-rsa/keys" na opção; assim você elimina a necessidade de > copiar manualmente o arquivo a cada alteração. Um exemplo de configuração > seria: > crl-verify /etc/openvpn/easy-rsa/keys/crl.pem > > Para que o OpenVPN leia o arquivo atualizado, use o parâmetro "reload" do > serviço. Isso atualiza a configuração sem derrubar os clientes conectados: > # /etc/init.d/openvpn reload > > Fonte: http://www.hardware.com.br/tutoriais/openvpn_2/pagina5.html > > Abraços, ÍndioX > -- > Claudio P Costa > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
