Revogando certificados digitais (OpenVPN)
Publicado por Bruno Faria Aguieiras em 11/10/2007
[ Hits: 18.785 ]
Revogando certificados digitais (OpenVPN)
No servidor da VPN, entre na pasta onde estão os certificados gerados que geralmente ficam na pasta:
# cd /etc/pki/CA/newcerts/
Obs.: Isso vária de distribuição.
Essa pasta contém todos os certificados gerados, porém com o nome diferente dos nomes criados:
01.pem 0F.pem 1C.pem 29.pem 36.pem 9E.pem AB.pem B8.pem C5.pem
Portanto, para você descobrir qual o arquivo que refere-se ao certificado criado, use o comando abaixo:
# fgrep "usuário"."domínio" *
A saída irá indicar em qual arquivo está armazenado o histórico do certificado procurado.
01.pem:Subject: C="País", ST="Estado", O="Empresa", OU="Departamento",CN="usuário"."domínio"/emailAddress="usuário"@"domínio"
Agora que já sabemos o arquivo, é só usar o comando para revogar o certificado.
# openssl ca -revoke 01.pem
Na sequência, digite a senha do servidor VPN e tecle enter.
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/"arquivo".pem:
DEBUGload_index: unique_subject = "yes"
Adding Entry with serial number D3 to DB for /C="País"/ST="Estado"/O="Empresa"/OU="Departamento"/CN="usuário"."domínio"
Revoking Certificate D3.
Data Base Updated
Agora o certificado já foi revogado.
Criando uma chave privada (OpenVPN)
Montando volume Novell no Linux
Criando um certificado digital (OpenVPN)
Horário de verão em servidores Linux
Instalação de pacotes oldstable no Debian Stable
Visualizando threads de um processo no Linux
Carregar os binários e libs na RAM
Sincronizando relógios dos micros na rede sem NTP
Lendo arquivos Markdown no terminal (*.md)
Por falar em OpenVPN, como anda o projeto? A versão 2.1 parece que não vai ser lançada nunca, não tem mais notícia nova no site deles... Será que o projeto morreu?
Prezado Joaomc,
Não sei te responder.
O que sei é que já faz mais de 1 ano sem lançamento de nova versão.
Isso, realmente é preocupante em se tratando de na minha opinião um dos melhores softwares de VPN do mercado.
Abraços.
Atualmente tenho uma Openvpn criada a muito tempo, sequi esses passos para criar;
yum install epel-release
Uma vez que o repositório esteja habilitado, instale os pacotes openvpn e openssl:
yum install openvpn openssl
2. Gerar autoridade de certificação local
Primeiro, gere os parâmetros Diffie-Hellman (arquivo DH) que é usado para proteger a troca de chaves entre o servidor e o cliente. Este comando pode demorar um pouco para ser executado dependendo do servidor.
openssl dhparam -out /etc/openvpn/dh.pem 2048
Gerar ca.crt (autoridade de certificação) arquivo:
openssl genrsa -out /etc/openvpn/ca.key 2048
chmod 600 /etc/openvpn/ca.key
openssl req -new -key /etc/openvpn/ca.key -out /etc/openvpn/ca.csr -subj /CN=OpenVPN-CA/
openssl x509 -req -in /etc/openvpn/ca.csr -out /etc/openvpn/ca.crt -signkey /etc/openvpn/ca.key -days 365
echo 01 > /etc/openvpn/ca.srl
3. Configurar o servidor OpenVPN
Criar certificado e chave do servidor com os seguintes comandos gerará um certificado e chave do servidor:
openssl genrsa -out /etc/openvpn/server.key 2048
chmod 600 /etc/openvpn/server.key
openssl req -new -key /etc/openvpn/server.key -out /etc/openvpn/server.csr -subj /CN=OpenVPN/
openssl x509 -req -in /etc/openvpn/server.csr -out /etc/openvpn/server.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 365
4. Criar arquivo de configuração do servidor OpenVPN
Você pode copiar e editar a configuração padrão do OpenVPN ou criar um novo a partir do zero.
nano /etc/openvpn/server.conf
server 10.8.0.0 255.255.255.0
verb 3
key /etc/openvpn/server.key
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
dh /etc/openvpn/dh.pem
keepalive 10 120
persist-key
persist-tun
comp-lzo
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
user nobody
group nogroup
proto udp
port 1194
dev tun1194
status openvpn-status.log
salve o arquivo e ative e inicie o serviço OpenVPN com:
systemctl enable openvpn@server
systemctl start openvpn@server
Adicione a seguinte iptablesregra para que o tráfego possa sair da VPN. Mude o eth0com a interface de rede pública do seu servidor.
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Nota: Se você estiver executando um VPS baseado em openvz em
vez da regra acima, adicione:iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source YOUR_SERVER_IP>
Finalmente, também precisamos permitir o encaminhamento IP:
sysctl -w net.ipv4.ip_forward=1
5. Criar certificado e chave do cliente
Os seguintes comandos gerarão um certificado e chave do cliente:
openssl genrsa -out /etc/openvpn/client.key 2048
chmod 600 /etc/openvpn/client.key
openssl req -new -key /etc/openvpn/client.key -out /etc/openvpn/client.csr -subj /CN=OpenVPN-Client/
openssl x509 -req -in /etc/openvpn/client.csr -out /etc/openvpn/client.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 36525
Em seguida, copie os seguintes arquivos para a máquina do cliente
/etc/openvpn/ca.crt
/etc/openvpn/client.crt
/etc/openvpn/client.key
6. Inicie OpenVPN no CentOS 7
Inicie o seu cliente OpenVPN com a seguinte configuração.
client
nobind
dev tun
redirect-gateway def1 bypass-dhcp
remote YOUR_SERVER_IP 1194 udp
comp-lzo yes
duplicate-cn
key /etc/openvpn/client.key
cert /etc/openvpn/client.crt
ca /etc/openvpn/ca.crt
Problema agora que precisei remover um usuario, e simplesmente apaguei o arquivo client.key e client.crt e client.csr do servidor linux que fica em /etc/openvpn/ e mesmo assim o cliente se conecta, mesmo sem os arquivos no servidor.
Acredito que ele fica registrado aqui:
openssl x509 -req -in /etc/openvpn/client.csr -out /etc/openvpn/client.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 36525
ou openssl req -new -key /etc/openvpn/client.key -out /etc/openvpn/client.csr -subj /CN=OpenVPN-Client/
Pergunta: Como remover o usuario em questao?
Obrigado
Patrocínio
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
Quais Shell Scripts vocês usam? (7)
Desenvolvimento de um driver (16)
Problemas para conectar à rede no Linux Mint (10)
Clamav e suas atualizações (15)
Não esta salvando as configurações de usuário. [RESOLVIDO] (3)
Top 10 do mês
-
Xerxes
1° lugar - 72.108 pts -
Fábio Berbert de Paula
2° lugar - 57.525 pts -
Clodoaldo Santos
3° lugar - 44.723 pts -
Buckminster
4° lugar - 26.273 pts -
Sidnei Serra
5° lugar - 26.130 pts -
Daniel Lara Souza
6° lugar - 17.707 pts -
Mauricio Ferrari
7° lugar - 17.291 pts -
Alberto Federman Neto.
8° lugar - 17.297 pts -
Diego Mendes Rodrigues
9° lugar - 15.439 pts -
edps
10° lugar - 14.647 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
