Revogando certificados digitais (OpenVPN)

Publicado por Bruno Faria Aguieiras em 11/10/2007

[ Hits: 19.209 ]

 


Revogando certificados digitais (OpenVPN)



Para revogar um certificado, utilize as configurações abaixo:

No servidor da VPN, entre na pasta onde estão os certificados gerados que geralmente ficam na pasta:

# cd /etc/pki/CA/newcerts/

Obs.: Isso vária de distribuição.

Essa pasta contém todos os certificados gerados, porém com o nome diferente dos nomes criados:

01.pem 0F.pem 1C.pem 29.pem 36.pem 9E.pem AB.pem B8.pem C5.pem

Portanto, para você descobrir qual o arquivo que refere-se ao certificado criado, use o comando abaixo:

# fgrep "usuário"."domínio" *

A saída irá indicar em qual arquivo está armazenado o histórico do certificado procurado.

01.pem:Subject: C="País", ST="Estado", O="Empresa", OU="Departamento",CN="usuário"."domínio"/emailAddress="usuário"@"domínio"

Agora que já sabemos o arquivo, é só usar o comando para revogar o certificado.

# openssl ca -revoke 01.pem

Na sequência, digite a senha do servidor VPN e tecle enter.

Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/"arquivo".pem:
DEBUGload_index: unique_subject = "yes"
Adding Entry with serial number D3 to DB for /C="País"/ST="Estado"/O="Empresa"/OU="Departamento"/CN="usuário"."domínio"
Revoking Certificate D3.
Data Base Updated

Agora o certificado já foi revogado.

Outras dicas deste autor

Tabelas corrompidas no MySQL

Criando uma chave privada (OpenVPN)

Horário de verão em servidores Linux

Criando um certificado digital (OpenVPN)

Montando volume Novell no Linux

Leitura recomendada

Backup em DVD com growisofs

SolidOak - IDE para a linguagem Rust

Slides da palestra: Segurança nos Ciclos de Desenvolvimento de Software

Como criar um pendrive UEFI no Ubuntu

oVirt no Centos 7

  

Comentários
[1] Comentário enviado por joaomc em 15/10/2007 - 09:53h

Por falar em OpenVPN, como anda o projeto? A versão 2.1 parece que não vai ser lançada nunca, não tem mais notícia nova no site deles... Será que o projeto morreu?

[2] Comentário enviado por brfaria em 15/10/2007 - 14:08h

Prezado Joaomc,
Não sei te responder.
O que sei é que já faz mais de 1 ano sem lançamento de nova versão.
Isso, realmente é preocupante em se tratando de na minha opinião um dos melhores softwares de VPN do mercado.
Abraços.

[3] Comentário enviado por wppitp em 14/04/2023 - 21:58h


Atualmente tenho uma Openvpn criada a muito tempo, sequi esses passos para criar;

yum install epel-release

Uma vez que o repositório esteja habilitado, instale os pacotes openvpn e openssl:

yum install openvpn openssl

2. Gerar autoridade de certificação local
Primeiro, gere os parâmetros Diffie-Hellman (arquivo DH) que é usado para proteger a troca de chaves entre o servidor e o cliente. Este comando pode demorar um pouco para ser executado dependendo do servidor.

openssl dhparam -out /etc/openvpn/dh.pem 2048

Gerar ca.crt (autoridade de certificação) arquivo:

openssl genrsa -out /etc/openvpn/ca.key 2048
chmod 600 /etc/openvpn/ca.key
openssl req -new -key /etc/openvpn/ca.key -out /etc/openvpn/ca.csr -subj /CN=OpenVPN-CA/
openssl x509 -req -in /etc/openvpn/ca.csr -out /etc/openvpn/ca.crt -signkey /etc/openvpn/ca.key -days 365
echo 01 > /etc/openvpn/ca.srl

3. Configurar o servidor OpenVPN
Criar certificado e chave do servidor com os seguintes comandos gerará um certificado e chave do servidor:

openssl genrsa -out /etc/openvpn/server.key 2048
chmod 600 /etc/openvpn/server.key
openssl req -new -key /etc/openvpn/server.key -out /etc/openvpn/server.csr -subj /CN=OpenVPN/
openssl x509 -req -in /etc/openvpn/server.csr -out /etc/openvpn/server.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 365


4. Criar arquivo de configuração do servidor OpenVPN
Você pode copiar e editar a configuração padrão do OpenVPN ou criar um novo a partir do zero.

nano /etc/openvpn/server.conf
server 10.8.0.0 255.255.255.0
verb 3
key /etc/openvpn/server.key
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
dh /etc/openvpn/dh.pem
keepalive 10 120
persist-key
persist-tun
comp-lzo
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

user nobody
group nogroup

proto udp
port 1194
dev tun1194
status openvpn-status.log
salve o arquivo e ative e inicie o serviço OpenVPN com:

systemctl enable openvpn@server
systemctl start openvpn@server


Adicione a seguinte iptablesregra para que o tráfego possa sair da VPN. Mude o eth0com a interface de rede pública do seu servidor.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Nota: Se você estiver executando um VPS baseado em openvz em
vez da regra acima, adicione:iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source YOUR_SERVER_IP>

Finalmente, também precisamos permitir o encaminhamento IP:

sysctl -w net.ipv4.ip_forward=1


5. Criar certificado e chave do cliente
Os seguintes comandos gerarão um certificado e chave do cliente:

openssl genrsa -out /etc/openvpn/client.key 2048
chmod 600 /etc/openvpn/client.key
openssl req -new -key /etc/openvpn/client.key -out /etc/openvpn/client.csr -subj /CN=OpenVPN-Client/
openssl x509 -req -in /etc/openvpn/client.csr -out /etc/openvpn/client.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 36525


Em seguida, copie os seguintes arquivos para a máquina do cliente

/etc/openvpn/ca.crt
/etc/openvpn/client.crt
/etc/openvpn/client.key


6. Inicie OpenVPN no CentOS 7
Inicie o seu cliente OpenVPN com a seguinte configuração.

client
nobind
dev tun
redirect-gateway def1 bypass-dhcp
remote YOUR_SERVER_IP 1194 udp
comp-lzo yes
duplicate-cn
key /etc/openvpn/client.key
cert /etc/openvpn/client.crt
ca /etc/openvpn/ca.crt

Problema agora que precisei remover um usuario, e simplesmente apaguei o arquivo client.key e client.crt e client.csr do servidor linux que fica em /etc/openvpn/ e mesmo assim o cliente se conecta, mesmo sem os arquivos no servidor.

Acredito que ele fica registrado aqui:

openssl x509 -req -in /etc/openvpn/client.csr -out /etc/openvpn/client.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 36525

ou openssl req -new -key /etc/openvpn/client.key -out /etc/openvpn/client.csr -subj /CN=OpenVPN-Client/

Pergunta: Como remover o usuario em questao?

Obrigado



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts