Вопросы Теги

OpenVPN отозвать пользователя - проблемы проверки CRL

Я настроил свой OpenVPN, и до сих пор он работает правильно. Недавно мне пришлось отозвать один сертификат, и после использования easy-rsa revoke-full я увидел, что в index.txt этот конкретный пользователь был отозван. Я также заметил, что crl.pem имеет новую метку времени, поэтому он действительно был обновлен. Проблема началась через 1 месяц, когда все пользователи были заблокированы, как я добавил в server.conf строку, добавленную в verify-crl и путь к crl.pem 

#CRL-VERIFY - for revoking users
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem

Итак, мой вопрос: использовал ли я сценарий easy-rsa 2.x revoke- полный, и я вижу, что индекс пометил этот конкретный сертификат для отзыва. Если я также обнаружил, что отметка времени /keys/crl.pem является текущей отметкой времени, и после того, как я перезапустил службу openvpn (для хорошей меры), почему она все еще блокируется.

Конечно, я могу удалить verify- crl, но дело не в этом. 

Certificate Revocation List (CRL):
        Version 1 (0x0)
    Signature Algorithm: XXXXXXXXXXXXXXXX
        Issuer: /C=DE/ST=xxxxxx/L=xxxxxx/O=xxxxxxxxxx/OU=xxxxxxxxxx/CN=xxxxxxxxxx/emailAddress=lol@xxxxxxxxxx
        Last Update: May  1 07:10:34 2019 GMT
        Next Update: May 31 07:10:34 2019 GMT
Revoked Certificates:
    Serial Number: 0B
        Revocation Date: Mar 29 19:37:51 2019 GMT

Я вижу, что следующее обновление запланировано на 31 мая, поэтому я хотел бы узнать пошаговую процедуру, как отозвать сертификат, возможно, я что-то пропустил.

1
задан 3 May 2019 в 13:36
1 ответ

Проблема началась через 1 месяц, когда все пользователи были заблокированы

Я столкнулся с той же проблемой. Я обнаружил, что openVPN + easy-rsa по умолчанию создает только CRL, действительный в течение 30 дней, и когда этот CRL истечет, openVPN не разрешит никаких подключений.

Поскольку я не отзываю сертификаты , что часто я просто (1) создал сценарий для повторного создания CRL, и (2) изменил срок действия CRL на 6 месяцев.

Вот мой regen-crl , который запускается в / etc / openvpn / easy-rsa --- обратите внимание на параметр -crldays 180 : 

#!/bin/sh
CRL="crl.pem"
if [ "$KEY_DIR" ]; then
    cd "$KEY_DIR"
    rm -f "$RT"

    # set defaults
    export KEY_CN=""
    export KEY_OU=""
    export KEY_NAME=""

    # required due to hack in openssl.cnf that supports Subject Alternative Names
    export KEY_ALTNAMES=""

    # generate a new CRL -- try to be compatible with
    # intermediate PKIs
    $OPENSSL ca -crldays 180 -gencrl -out "$CRL" -config "$KEY_CONFIG"
    $OPENSSL crl -text -in "$CRL"
else
    echo 'Please source the vars script first (i.e. "source ./vars")'
    echo 'Make sure you have edited it to reflect your configuration.'
fi

Мне также пришлось изменить / etc /openvpn/easy-rsa/openssl.cnf для соответствия, изменив эту строку в разделе [CA_default] : 

default_crl_days= 180                   # how long before next CRL
1
ответ дан 3 December 2019 в 23:04

Теги

Похожие вопросы