Отзыв нескольких сертификатов openvpn.

[aleksandrnovikov]

Как правильно сделать отзыв кучи сертификатов?
Есть такая инструкция, как сделать отзыв одного сертификата понятно.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

cd ~/openvpn-ca
source vars
Далее используйте команду revoke-full с именем клиента, сертификат которого вы хотите отозвать:

./revoke-full client3
Вывод результатов работы этой команды будет оканчиваться ошибкой 23. Это нормально. В результате работы будет создан файл crl.pem в директории keys с необходимой для отзыва сертификата информацией.

Переместите этот файл в директорию /etc/openvpn:

sudo cp ~/openvpn-ca/keys/crl.pem /etc/openvpn
Далее откройте файл конфигурации сервера OpenVPN:

sudo nano /etc/openvpn/server.conf
Добавьте в конец файла строку crl-verify. Сервер OpenVPN будет проверять список отозванных сертификатов каждый раз, когда кто-то устанавливает соединение с сервером.

/etc/openvpn/server.conf
crl-verify crl.pem
Сохраните и закройте файл.

Перезапустите OpenVPN для завершения процесса отзыва сертификата:

sudo systemctl restart openvpn@server
Теперь клиент не сможет устанавливать соединение с сервером OpenVPN используя старый сертификат.

А Вот дальше, как отозвать много сертификатов, мне не понятно.

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Для отзыва дополнительных сертификатов выполните следующие шаги:

Сгенерируйте новый список отозванных сертификатов используя команду source vars в директории ~/openvpn-ca и выполняя команду revoke-full с именем клиента.
Скопируйте новый список отозванных сертификатов в директорию /etc/openvpn перезаписав тем самым старый список.
Перезапустите сервис OpenVPN.

Когда отзываешь еще один сертификат в файле crl.pem записывается новый набор символов

(Нажмите, чтобы показать/скрыть)

-----BEGIN X509 CRL-----
MIICHzCCAQcwDQYJKoZIhvcNAQELBQAwgZkxCzAJBgNVBAYTAlJVMQ0wCwYDVQQI
EwRUVUxBMQ0wCwYDVQQHEwRUVUxBMREwDwYDVQQKEwg0bWFpbmVyYTEPMA0GA1UE
CxMGc2VydmVyMRQwEgYDVQQDEws0bWFpbmVyYSBDQTEPMA0GA1UEKRMGc2VydmVy
MSEwHwYJKoZIhvcNAQkBFhI0bWFpbmVyYUBnbWFpbC5jb20XDTE4MTEyNDEyMDQy
MVoXDTE4MTIyNDEyMDQyMVowPDASAgEvFw0xODExMjQxMjA0MjFaMBICATAXDTE4
MTEyNDExNTU1OFowEgIBMRcNMTgxMTI0MTE1NjUzWjANBgkqhkiG9w0BAQsFAAOC
AQEAfKtaTi2WPUycFRzVJxpwOXd7EvGvbrx+wWlLbu5A9OnEd0q8zphoZU0CSM4E
OfZ4JWQlyPo42RDt6ZTMungtod9yJ6+lGh3fbqS5gJQPAmFEV0GiYdGmFbmqGH5A
aPXVM3XE+Pt6/bqWhFDWpiuRZBpqgTgMveOdlZ8Grsx1uNtUTllN8ctgpga76ICd
MPN2dxEutQSy04WYk4y44Tu0BjOST2ooYRTHoCvYhPvfGKznnFOx0eKVak/dd2Al
LW0uD6XCRBaO9DqMxZjrm1LgTFwPS6zq+J330MI0Py7/GH65oa9grYDCXJ0czQdd
S7nQdMG7FV+Olzj0AxFyHqxIQQ==
-----END X509 CRL-----

Этот набор символов уже содержит информацию о всех отозванных сертификатах? Или после очередного отзыва мне нужно скопировать содержимое из ~/openvpn-ca/keys/crl.pem и добавить в конец файла /etc/openvpn/crl.pem ?

[fisher74]

Не нужно ничего добавлять. Каждый раз при отзыве клиентского сертификата, формируется новый crl.pem. Это и есть список всех отозванных сертификатов.

[aleksandrnovikov]

Спасибо большое. Я бы Вам задонатил, но вебмани нет, но криптой могу.