Пользовательские сертификаты OpenVPN - PullRequest
0 голосов
/ 18 февраля 2020

У меня проблема с пониманием комбинации OpenVPN с EasyRsa.
Я прочитал эту инструкцию
Я не понимаю, как клиентские ключи подписывают и отзывают.
Когда я подписываюсь на сервере CA для получения сертификата и ключей пользователя, сервер openVPN определяет, что пользователь подписал свои сертификаты и ключи тем же сервером CA, и позволяет пользователю подключаться?
Аналогично https с доверенной сертификацией сервер (пример LetsEncrypt)
Верно?

Если я хочу заблокировать пользователю доступ к openVPN, мне нужно отозвать сертификат на CA сервере.
Но как openVPN сервер будет понимать, что у этого пользователя больше нет прав на доступ openVPN? Только с помощью дополнительного списка отзыва сертификатов?
То, что генерируется с easyrsa gen-crl и синхронизируется / копируется с CA сервера на openVPN сервер?
Однако, если срок действия сертификата пользователя истек, то openVPN сервер будет просто не принимаете соединение?
Я прав?

1 Ответ

1 голос
/ 18 февраля 2020

Чтобы отозвать сертификаты, вы создаете их список и сообщаете серверу OpenVPN, что при входе клиентов их необходимо проверять с помощью этого списка.

С помощью команды "./revoke-full client_name", Вы добавляете запрещенные клиенты в файл crl.pem. Затем скопируйте этот файл в каталог конфигурации сервера. Чтобы сервер проверял этот файл при входе клиентов, ему необходимо ввести строку «crl-verify crl.pem» в файле конфигурации. Внимание! Если эта строка появляется в файле конфигурации, но этот файл не существует, сервер прекратит пускать всех клиентов!

...