LINUX.ORG.RU
ФорумAdmin

openVPN Как правильно восстановить отозванный сертификат и возможно ли это вообще?

 


0

1

Всем доброго дня. Поднял сервер openVPN по схеме :

curl -O https://raw.githubusercontent.com/angristan/openvpn-install/master/openvpn-install.sh chmod + x openvpn-install.sh

./openvpn-install.sh

It looks like OpenVPN is already installed.

What do you want to do?

  1. Add a new user
  2. Revoke existing user
  3. Remove OpenVPN
  4. Exit Select an option [1-4]:

Создаю новый ключ всё отлично работает. Но я бы хотел иметь возможность отключать ключ и заново егоже включать. Это вообще возможно ? 2) Revoke existing user делаю ключ отзывается но уже навсегда а заного включить не могу . Если кто знает как помогите пожалуйста .


Для комплектной утилиты работы с сертификатами я легко нашел по запросу «easy-rsa unrevoke» пару скриптов, и что у easy-rsa есть файл index.txt, где просто одна буква меняется и после достаточно перегенерировать crl.

XCA, вроде, может возвращать.

boowai ★★★★
()
Последнее исправление: boowai (всего исправлений: 5)

Про бывал вот этот метод но он не работает.

V 230905132105Z 1413D732649AB6BB2883648CBA220B47 unknown /CN=server_3yGMcvK6GgOgXkmn R 230905132115Z 7FBAE96C815DB89399BCD8F9BAAAC095 unknown /CN=1 V 230905132124Z E33A80B702F18DFDD627E53ECA2AA1D1 unknown /CN=2 V 230905132130Z B7EEE49D749629813E52565A2C03B0AB unknown /CN=3 V 230906133035Z 4590ADAE7067F428D3AEEF5DF7CA7CAC unknown /CN=4

zaya86
() автор топика

Вам надо не сертификат отзывать а использовать client-config-dir (опции client-config-dir и ccd-exclusive).

В нужном каталоге создаете файл с именем клиента - он коннектится. Удаляете - не коннектится.

Nastishka ★★★★★
()
Последнее исправление: Nastishka (всего исправлений: 1)

Тебе нужно удалить файл со списком отозванных сертификатов crl и перегенерировать его заново для всех сертификатов, которые должны быть отозваны, кроме того что нужно исключить.

После чего либо ждёшь час, либо сразу перезапускаешь OpenVPN.

Ну и слово «Пробовал» пишется слитно.

anonymous
()

Это вообще возможно ?

Примерно как оторвать тебе руки, а потом пришить их заново. В принципе возможно.

А вообще тебе нужны –client-connect и –disable.

anonymous
()

Вот мой конфиг сервреа.Создал в директории /etc/openvpn/ccd файл с названием 1.save в нём прописал disable сервак перезагрузил. Что ещё делаю не так? ключ у клиента не отключается.

port 443 proto udp dev tun user nobody group nogroup persist-key persist-tun keepalive 10 120 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push «dhcp-option DNS 8.8.8.8» push «dhcp-option DNS 8.8.4.4» push «redirect-gateway def1 bypass-dhcp» dh none ecdh-curve prime256v1 tls-crypt tls-crypt.key crl-verify crl.pem ca ca.crt cert server_3yGMcvK6GgOgXkmn.crt key server_3yGMcvK6GgOgXkmn.key auth SHA256 cipher AES-128-GCM ncp-ciphers AES-128-GCM tls-server tls-version-min 1.2 tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256 client-config-dir /etc/openvpn/ccd status /var/log/openvpn/status.log verb 3

zaya86
() автор топика
Ответ на: комментарий от zaya86

Создал в директории /etc/openvpn/ccd файл с названием 1.save

У вас клиент называется (имеет common name) 1.save ?

anc ★★★★★
()
Ответ на: комментарий от zaya86

R 230905132115Z 7FBAE96C815DB89399BCD8F9BAAAC095 unknown /CN=1

Так это уже отозванный.

у меня всего 4 ключа
1 2 3 4

Создаем файл(если не существует) /etc/openvpn/ccd/2, в него добавляем одну строчку disable (не забыть про ентер в конце). Всё, клиент 2 не работает.

anc ★★★★★
()
Ответ на: комментарий от anc

Создал файл но ключь у клиента работает. Сервак перезагрузил. создавал этой командой sudo nano /etc/openvpn/ccd/2

zaya86
() автор топика
Ответ на: комментарий от zaya86

Вот такой файл создался 2.save

Мля, какое 2.save ? Я вам что написал?

Создаем файл(если не существует) /etc/openvpn/ccd/2

Где вы увидели тут .save ?

anc ★★★★★
()
Ответ на: комментарий от zaya86

В каком формате файл создать. Я это делаю в первые сильно не пинайти .

В docx блин... В текстовом естессно.

anc ★★★★★
()
Ответ на: комментарий от anc

Спасибо большое всё получилось ……..

zaya86
() автор топика
Ответ на: комментарий от zaya86

Я в этом новичок.

На всякий случай предупреждаю что на ЛОР приближенная к админам группа вредителей сделала автозамену некоторых символов, так что – и " совсем не то, чем кажутся.

anonymous
()
Ответ на: комментарий от anonymous

Опаньки, неужели автозамену '' наконец-то убрали :))

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.