Revogando certificados digitais (OpenVPN)

Publicado por Bruno Faria Aguieiras em 11/10/2007

[ Hits: 19.486 ]

0 0

 

Denuncie   Favoritos   Indicar   Impressora

Revogando certificados digitais (OpenVPN)



Para revogar um certificado, utilize as configurações abaixo:

No servidor da VPN, entre na pasta onde estão os certificados gerados que geralmente ficam na pasta:

# cd /etc/pki/CA/newcerts/

Obs.: Isso vária de distribuição.

Essa pasta contém todos os certificados gerados, porém com o nome diferente dos nomes criados:

01.pem 0F.pem 1C.pem 29.pem 36.pem 9E.pem AB.pem B8.pem C5.pem

Portanto, para você descobrir qual o arquivo que refere-se ao certificado criado, use o comando abaixo:

# fgrep "usuário"."domínio" *

A saída irá indicar em qual arquivo está armazenado o histórico do certificado procurado.

01.pem:Subject: C="País", ST="Estado", O="Empresa", OU="Departamento",CN="usuário"."domínio"/emailAddress="usuário"@"domínio"

Agora que já sabemos o arquivo, é só usar o comando para revogar o certificado.

# openssl ca -revoke 01.pem

Na sequência, digite a senha do servidor VPN e tecle enter.

Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/"arquivo".pem:
DEBUGload_index: unique_subject = "yes"
Adding Entry with serial number D3 to DB for /C="País"/ST="Estado"/O="Empresa"/OU="Departamento"/CN="usuário"."domínio"
Revoking Certificate D3.
Data Base Updated

Agora o certificado já foi revogado.

Outras dicas deste autor

Migrando um banco MYSQL para outra máquina

Criando uma chave privada (OpenVPN)

Horário de verão em servidores Linux

Tabelas corrompidas no MySQL

Montando volume Novell no Linux

Leitura recomendada

Slackware com Alsa: sem som no notebook [Resolvido]

Atualizar Mint para versão 22 BETA

Falha de segurança em servidores na internet

Transferência manual de arquivo de zona em um DNS server

Samba - Erro que pode ocorrer durante ao ingresso no domínio

  

Comentários
[1] Comentário enviado por joaomc em 15/10/2007 - 09:53h

Por falar em OpenVPN, como anda o projeto? A versão 2.1 parece que não vai ser lançada nunca, não tem mais notícia nova no site deles... Será que o projeto morreu?

[2] Comentário enviado por brfaria em 15/10/2007 - 14:08h

Prezado Joaomc,
Não sei te responder.
O que sei é que já faz mais de 1 ano sem lançamento de nova versão.
Isso, realmente é preocupante em se tratando de na minha opinião um dos melhores softwares de VPN do mercado.
Abraços.

[3] Comentário enviado por wppitp em 14/04/2023 - 21:58h


Atualmente tenho uma Openvpn criada a muito tempo, sequi esses passos para criar;

yum install epel-release

Uma vez que o repositório esteja habilitado, instale os pacotes openvpn e openssl:

yum install openvpn openssl

2. Gerar autoridade de certificação local
Primeiro, gere os parâmetros Diffie-Hellman (arquivo DH) que é usado para proteger a troca de chaves entre o servidor e o cliente. Este comando pode demorar um pouco para ser executado dependendo do servidor.

openssl dhparam -out /etc/openvpn/dh.pem 2048

Gerar ca.crt (autoridade de certificação) arquivo:

openssl genrsa -out /etc/openvpn/ca.key 2048
chmod 600 /etc/openvpn/ca.key
openssl req -new -key /etc/openvpn/ca.key -out /etc/openvpn/ca.csr -subj /CN=OpenVPN-CA/
openssl x509 -req -in /etc/openvpn/ca.csr -out /etc/openvpn/ca.crt -signkey /etc/openvpn/ca.key -days 365
echo 01 > /etc/openvpn/ca.srl

3. Configurar o servidor OpenVPN
Criar certificado e chave do servidor com os seguintes comandos gerará um certificado e chave do servidor:

openssl genrsa -out /etc/openvpn/server.key 2048
chmod 600 /etc/openvpn/server.key
openssl req -new -key /etc/openvpn/server.key -out /etc/openvpn/server.csr -subj /CN=OpenVPN/
openssl x509 -req -in /etc/openvpn/server.csr -out /etc/openvpn/server.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 365


4. Criar arquivo de configuração do servidor OpenVPN
Você pode copiar e editar a configuração padrão do OpenVPN ou criar um novo a partir do zero.

nano /etc/openvpn/server.conf
server 10.8.0.0 255.255.255.0
verb 3
key /etc/openvpn/server.key
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
dh /etc/openvpn/dh.pem
keepalive 10 120
persist-key
persist-tun
comp-lzo
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

user nobody
group nogroup

proto udp
port 1194
dev tun1194
status openvpn-status.log
salve o arquivo e ative e inicie o serviço OpenVPN com:

systemctl enable openvpn@server
systemctl start openvpn@server


Adicione a seguinte iptablesregra para que o tráfego possa sair da VPN. Mude o eth0com a interface de rede pública do seu servidor.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Nota: Se você estiver executando um VPS baseado em openvz em
vez da regra acima, adicione:iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source YOUR_SERVER_IP>

Finalmente, também precisamos permitir o encaminhamento IP:

sysctl -w net.ipv4.ip_forward=1


5. Criar certificado e chave do cliente
Os seguintes comandos gerarão um certificado e chave do cliente:

openssl genrsa -out /etc/openvpn/client.key 2048
chmod 600 /etc/openvpn/client.key
openssl req -new -key /etc/openvpn/client.key -out /etc/openvpn/client.csr -subj /CN=OpenVPN-Client/
openssl x509 -req -in /etc/openvpn/client.csr -out /etc/openvpn/client.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 36525


Em seguida, copie os seguintes arquivos para a máquina do cliente

/etc/openvpn/ca.crt
/etc/openvpn/client.crt
/etc/openvpn/client.key


6. Inicie OpenVPN no CentOS 7
Inicie o seu cliente OpenVPN com a seguinte configuração.

client
nobind
dev tun
redirect-gateway def1 bypass-dhcp
remote YOUR_SERVER_IP 1194 udp
comp-lzo yes
duplicate-cn
key /etc/openvpn/client.key
cert /etc/openvpn/client.crt
ca /etc/openvpn/ca.crt

Problema agora que precisei remover um usuario, e simplesmente apaguei o arquivo client.key e client.crt e client.csr do servidor linux que fica em /etc/openvpn/ e mesmo assim o cliente se conecta, mesmo sem os arquivos no servidor.

Acredito que ele fica registrado aqui:

openssl x509 -req -in /etc/openvpn/client.csr -out /etc/openvpn/client.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 36525

ou openssl req -new -key /etc/openvpn/client.key -out /etc/openvpn/client.csr -subj /CN=OpenVPN-Client/

Pergunta: Como remover o usuario em questao?

Obrigado



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Atualizando o Passado: Linux no Lenovo G460 em 2025

aaPanel - Um Painel de Hospedagem Gratuito e Poderoso

O macete do Warsaw no Linux Mint e cia

Aprenda a Gerenciar Permissões de Arquivos no Linux

Fundo pontilhado CSS

Dicas

Visualizar arquivos em formato markdown (ex.: README.md) pelo terminal

Dando - teoricamente - um gás no Gnome-Shell do Arch Linux

Como instalar o Google Cloud CLI no Ubuntu/Debian

Mantenha seu Sistema Leve e Rápido com a Limpeza do APT!

Procurando vídeos de YouTube pelo terminal e assistindo via mpv (2025)

Tópicos

Pastas da raiz foram para a área de trabalho [RESOLVIDO] (10)

Anúncios (13)

Trampo? (4)

Será que eu deveria apreender C/C++ para desenvolver para Linux? (4)

O 1º artigo a gente nunca esquece (3)

Top 10 do mês

Scripts

[Shell Script] Criar Script para apagar determinados arquivos

[Shell Script] inSANE - Script para usar Scanner

[Shell Script] Instalador do emulador de joystick Xbox para joystick generico para PC, PS2, PS3 (Debian e Derivados

[Shell Script] Instalador de Hotspot Linux Debian (SysV)

[Shell Script] Script para verificar o Status da bateria

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: