easy rsa: CRL и отзыв сертификатов


В easy rsa отозвать сертификат безопасности можно внеся его в специальный список, который затем копируется на сервер с OpenVPN. easy rsa применяется чаще всего именно с ПО для организации защищенного соединения по небезопасной сети (про easy-rsa).



Как через easy rsa отозвать сертификат


Работа OpenVPN осуществляется при помощи сертификатов: сервера и клиента.
Запросы на сертификаты могут генерироваться на разных машинах, но подписываются они всегда приватным ключом CA.



CA с OpenVPN могут размещаться на одной машине или на разных. При условии высоких требований к безопасности сервер с CA должен быть отдельной машиной, отключенной от сети.



На сервере с CA сертификат отзывается так:

./easyrsa revoke client

Затем нужно подтвердить отзыв введя yes



Предварительно следует перейти в ~/ca/ или другую директорию, указанную при создании CA

Чтобы сообщить OpenVPN о том, что сертификат отозван нужен CRL или certificate revocation list.

./easyrsa gen-crl



В результате будет создан файл crl.pem, он перемещается на съемном носителе (в идеале) или при помощи scp на сервер OpenVPN в /etc/openvpn/



В /etc/openvpn/server.conf добавляется опция, которая будет сообщать о необходимости проверять наличие CRL.

echo 'crl-verify crl.pem' >> /etc/openvpn/server.conf



Перезапускаем инстанс OpenVPN сервера

systemctl restart openvpn@server



С другими клиентами процесс можно повторять перезаписывая файл crl.pem

Сказать спасибо