11.08.2017 23:53

#8.1 VPS - openvpn отзыв сертификатов клиентов: отключение от vpn | Ubuntu | Debian |

Содержание:

Подготовка и инструкция:

Для вставки команд в терминал используйте клавиши: Ctrl + V или Ctrl + Insert, либо Ctrl + Shift + V.

Все команды мы будем выполнять от имени пользователя root, поэтому мы не будем использовать в командах sudo для повышения прав, если вы выполняете под своим пользователям добавляйте sudo в начале команды.

Пример:

sudo apt-get update

Мы будем использовать Midnight Commander, если у вас его нет необходимо установить следующей командой:

apt-get update
apt-get install mc

Краткая справка по командам MC:

  • запуск: mc
  • открытие файла для редактирования: F4
  • открытие файла для чтения: F3
  • удаление файла или выделенного текста в файле: F8
  • сохранение отредактированного файла: F2
  • создание директории: F7
  • переход в верхнее меню: F9
  • закрытие mc: F10
  • история команд: alt + H
  • свернуть и развернуть mc: Ctrl + O 

Краткая справка по работе в shell - консоли unix | linux:

  • переход по директория: cd /путь/путь
  • создание файла: :>имяфайла
  • копирование файла: cp имяисходного имянового
  • перемещение или переименование файла:  mv имяисходного имянового
  • список файлов и папок в текущей директории: ls -l

Отзыв клиентских сертификатов

Время от времени, вам может понадобиться отозвать клиентский сертификат для предотвращения доступа к серверу VPN

Для этого зайдите в вашу директорию центра сертификации и введите команды:

cd /etc/openvpn/easy-rsa/
source /etc/openvpn/easy-rsa/vars

Далее используйте команду revoke-full с именем клиента, сертификат которого вы хотите отозвать:

./revoke-full client3

Вывод результатов работы этой команды будет оканчиваться ошибкой 23. Это нормально. В результате работы будет создан файл crl.pem в директории keys с необходимой для отзыва сертификата информацией.

Переместите этот файл в директорию /etc/openvpn:

sudo cp keys/crl.pem /etc/openvpn

Далее откройте файл конфигурации сервера OpenVPN:

sudo nano /etc/openvpn/server.conf

Добавьте в конец файла строку crl-verify. Сервер OpenVPN будет проверять список отозванных сертификатов каждый раз, когда кто-то устанавливает соединение с сервером.

crl-verify /etc/openvpn/crl.pem

Сохраните и закройте файл.

Перезапустите OpenVPN для завершения процесса отзыва сертификата:

sudo systemctl restart openvpn@server

Теперь клиент не сможет устанавливать соединение с сервером OpenVPN используя старый сертификат.

Для отзыва дополнительных сертификатов выполните следующие шаги:

  1. Сгенерируйте новый список отозванных сертификатов используя команду source vars в директории /etc/openvpn/easy-rsa и выполняя команду revoke-full с именем клиента.

  2. Скопируйте новый список отозванных сертификатов в директорию /etc/openvpn перезаписав тем самым старый список.

  3. Перезапустите сервис OpenVPN.

Эта процедура может быть использована для отзыва любых созданных вами ранее сертификатов.

 

Подписывайтесь на наш канал в YouTube, ждите продолжения!