Archives February 2013

Revocare certificat in OpenVPN

Pentru revocarea certificatului unui client se foloseste comanda:

./revoke-full marco

Daca apare eroarea :

bash: ./revoke-full: Permission denied

atunci trebuie verificat ca accesul pe fisierul ./revoke-full  sa fie 0744  (implicit este 644 ).

De asemenea se poate da un restart la serviciu /etc/init.d/openvpn restart  si apoi rula comanda ./vars.

Mesajul care apare dupa revocare trebuie sa fie:

[root@gw openvpn]# ./revoke-full marco
Using configuration from /etc/openvpn/openssl.cnf
Revoking Certificate 0A.
Data Base Updated
Using configuration from /etc/openvpn/openssl.cnf
marco.crt: C = RO, ST = TM, O = Lintesa, CN = marco, emailAddress = email@domain.ro
error 23 at 0 depth lookup:certificate revoked

La revocarea unui certificat se genereaza fisierul crl.pem  care trebuie copiat in locatia /etc/openvpn/ , apoi in fisierul server.conf  se adauga linia crl-verify crl.pem . Fisierul crl.pem  este de tip append-only si este verificat de fiecare data cand un client se conecteaza prin openvpn, asa ca nu trebuie facut restart la serviciul openvpn dupa revocarea unui certificat.

Nota: Toate comenzile au fost executate in folderul /etc/openvpn .

Alte surse:
http://openvpn.net/index.php/open-source/documentation/howto.html#revoke
http://blog.abhijeetr.com/2012/06/revokeunrevoke-client-certificate-in.html