Erro ao revogar certificado.

wluisaraujo
(usa Debian)

Enviado em 20/03/2014 - 14:22h

Boa Tarde,

Estou com um problema para revogar certificados do OpenVPN. Gostaria de compartilhar o erro em busca de solução.

Primeiramente o OpenVPN esta instalado e configurado, está em produção. Tudo funcional.

Foi configurado por um antigo colaborador da empresa que não faz mais parte da equipe. Referente ao meu problema, existiam muitos certificados validos, de ex-colaboradores, e minha tarefa é revogar este certificados.

Ao executar #./revoke-full nome.sobrenome - Retorna o seguinte erro:

root@server:/etc/openvpn# source vars
root@server:/etc/openvpn# ./revoke-full washington.araujo
Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem:
unable to load CA private key
140633414641320:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:evp_enc.c:539:
140633414641320:error:0906A065:PEM routines:PEM_do_header:bad decrypt:pem_lib.c:483:

Mesmo os users com certificados revogados, continuam conectados a VPN.

Já foi testado a criação e revogação de um novo certificado. E mesmo após a revogação, reinicio do
servidor vpn, e client vpn. A o cliente continua com acesso.

Existe uma maneira mais eficaz de revogação do certificado.

Segue o arquivo de configuração:
###########################################################################
### Global
dev tun0
proto udp
port 1194

keepalive 10 120
float
comp-lzo
persist-tun
persist-key

local 192.168.2.2

server 192.168.12.0 255.255.255.0


push "route 192.168.12.0 255.255.255.0"
push "route 192.168.2.2 255.255.255.0"
push "dhcp-option DNS 192.168.2.5"
push "dhcp-option DNS 192.168.2.6"


ifconfig-pool-persist ipp.txt

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem

tls-auth preshared.key 0

crl-verify /etc/openvpn/keys/crl.pem


status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log

verb 5
###########################################################################

removido
(usa Nenhuma)

Enviado em 20/03/2014 - 14:52h

Tentou essas dicas

http://www.vivaolinux.com.br/dica/Revogando-certificados-digitais-(OpenVPN)

http://www.hardware.com.br/tutoriais/openvpn_2/pagina5.html

wluisaraujo
(usa Debian)

Enviado em 20/03/2014 - 15:02h

Tentei, colega. Mas ainda assim, o certificado que consta como revogado, ainda deixa o client se conectar.
Reiniciei o lado server e client após a revogação

fandradejesus
(usa Ubuntu)

Enviado em 24/03/2014 - 18:50h

Meu Caro, se você deletar os certificados dos usuários da pasta Keys. O acesso não seria mais possível.

wluisaraujo
(usa Debian)

Enviado em 25/03/2014 - 08:46h

Os certificados nao foram removidos. Mas movidos para um outro diretório.
Quase o mesmo efeito de remove-los da pasta keys. Pois os certificados nao ficam mais neste diretorio.

Fiz um ambiente de teste em vm. Criando o servidor vpn, criando certificados e removendo-o. Funcionou.
Minha duvida maior eh neste servidor de producao, onde os certificados que constam como revogados (e nao existem na pasta keys) ainda deixa o cliente se conectar.

fandradejesus
(usa Ubuntu)

Enviado em 26/03/2014 - 09:41h

Eu creio que não, pois o que permite a conexão com a VPN (Openvpn) é justamente o confronto entre os certificados. Uma vez que eles não estão mais na pasta keys não tem como se verificar o certificado logo a conexão não será completada.

wluisaraujo
(usa Debian)

Enviado em 26/03/2014 - 10:12h

Obrigado pela orietacao colega @fandradejesus.

Mas nao convem ao meu ambiente. O meu problema esta justamente por nao estar funcionando a revogacao de certificados.

Meu problema eh. Mesmo que o certificado ja nao exista no servidor, o cliente ainda assim consegue se conectar.