easy rsa: CRL и отзыв сертификатов

В easy rsa отозвать сертификат безопасности можно внеся его в специальный список, который затем копируется на сервер с OpenVPN. easy rsa применяется чаще всего именно с ПО для организации защищенного соединения по небезопасной сети (про easy-rsa).

 

 

easy rsa отозвать сертификат

Работа OpenVPN осуществляется при помощи сертификатов: сервера и клиента.
Запросы на сертификаты могут генерироваться на разных машинах, но подписываются они всегда приватным ключем CA.

 

 

CA с OpenVPN могут размещаться на одной машине или на разных. При условии высоких требований к безопасности сервер с CA должен быть отдельной машиной, отключенной от сети.

 

 

На сервере с CA сертификат отзывается так:

./easyrsa revoke client

 

Затем нужно подтвердить отзыв введя yes

Предварительно следует перейти в ~/ca/ или другую директорию, указанную при создании CA

 

Чтобы сообщить OpenVPN о том, что сертификат отозван нужен CRL или certificate revocation list.

./easyrsa gen-crl

 

В результате будет создан файл crl.pem, он перемещается на съемном носителе (в идеале) или при помощи scp на сервер OpenVPN в /etc/openvpn/

 

 

В /etc/openvpn/server.conf добавляется опция, которая будет сообщать о необходимости проверять наличие CRL.

echo «crl-verify crl.pem» >> /etc/openvpn/server.conf

 

 

Перезапускаем инстанс OpenVPN сервера

systemctl restart openvpn@server

 

С другими клиентами процесс можно повторять перезаписывая файл crl.pem