#8.1 VPS - openvpn отзыв сертификатов клиентов: отключение от vpn | Ubuntu | Debian |

Содержание:

• Подготовка и инструкция
• Отзыв клиентских сертификатов

Подготовка и инструкция:

Для вставки команд в терминал используйте клавиши: Ctrl + V или Ctrl + Insert, либо Ctrl + Shift + V.

Все команды мы будем выполнять от имени пользователя root, поэтому мы не будем использовать в командах sudo для повышения прав, если вы выполняете под своим пользователям добавляйте sudo в начале команды.

Пример:

sudo apt-get update

Мы будем использовать Midnight Commander, если у вас его нет необходимо установить следующей командой:

apt-get update
apt-get install mc

Краткая справка по командам MC:

• запуск: mc
• открытие файла для редактирования: F4
• открытие файла для чтения: F3
• удаление файла или выделенного текста в файле: F8
• сохранение отредактированного файла: F2
• создание директории: F7
• переход в верхнее меню: F9
• закрытие mc: F10
• история команд: alt + H
• свернуть и развернуть mc: Ctrl + O 

Краткая справка по работе в shell - консоли unix | linux:

• переход по директория: cd /путь/путь
• создание файла: :>имяфайла
• копирование файла: cp имяисходного имянового
• перемещение или переименование файла:  mv имяисходного имянового
• список файлов и папок в текущей директории: ls -l

Отзыв клиентских сертификатов

Время от времени, вам может понадобиться отозвать клиентский сертификат для предотвращения доступа к серверу VPN

Для этого зайдите в вашу директорию центра сертификации и введите команды:

cd /etc/openvpn/easy-rsa/

source /etc/openvpn/easy-rsa/vars

Далее используйте команду revoke-full с именем клиента, сертификат которого вы хотите отозвать:

./revoke-full client3

Вывод результатов работы этой команды будет оканчиваться ошибкой 23. Это нормально. В результате работы будет создан файл crl.pem в директории keys с необходимой для отзыва сертификата информацией.

Переместите этот файл в директорию /etc/openvpn:

sudo cp keys/crl.pem /etc/openvpn

Далее откройте файл конфигурации сервера OpenVPN:

sudo nano /etc/openvpn/server.conf

Добавьте в конец файла строку crl-verify. Сервер OpenVPN будет проверять список отозванных сертификатов каждый раз, когда кто-то устанавливает соединение с сервером.

crl-verify /etc/openvpn/crl.pem

Сохраните и закройте файл.

Перезапустите OpenVPN для завершения процесса отзыва сертификата:

sudo systemctl restart openvpn@server

Теперь клиент не сможет устанавливать соединение с сервером OpenVPN используя старый сертификат.

Для отзыва дополнительных сертификатов выполните следующие шаги:

1. Сгенерируйте новый список отозванных сертификатов используя команду source vars в директории /etc/openvpn/easy-rsa и выполняя команду revoke-full с именем клиента.

2. Скопируйте новый список отозванных сертификатов в директорию /etc/openvpn перезаписав тем самым старый список.

3. Перезапустите сервис OpenVPN.

Эта процедура может быть использована для отзыва любых созданных вами ранее сертификатов.

 

Подписывайтесь на наш канал в YouTube, ждите продолжения!