[FUG-BR] Arquivos .pem do openvpn

Claudio Pereira claudiopereira em gmail.com
Quarta Outubro 9 11:57:05 BRT 2013


2013/10/8 Marcio Rufino <marciorufino01 at gmail.com>

> Após criar um usuário no openvpn é criado também o arquivo .pem.
> Quando revogo um certificado, deleto o .crt, .csr e .key do usuario.
> Nesse caso tenho q revogar o .pem também?
> Se sim, como identifico qual o .pem do usuário?
>
>
 Eu não costumo apagar esses arquivos, apenas revogo o certificado do
cliente.

# cd /etc/openvpn/easy-rsa
# source vars

Execute o comando "revoke-full", especificando o certificado que será
revogado, como em:
# ./revoke-full cliente1

Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Revoking Certificate 08.
Data Base Updated
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
cliente1.crt: /C=BR/ST=SP/O=GDH/CN=cliente1/emailAddress=foo at bar.com
error 23 at 0 depth lookup:certificate revoked

A mensagem "error 23" indica que o certificado foi revogado com sucesso, ou
seja, ela não é exatamente uma mensagem de erro e sim uma confirmação.

O comando gera o arquivo "*crl.pem*", dentro do diretório
"/etc/openvpn/easy-rsa/keys". O próximo passo é copiar o arquivo para o
diretório "*/etc/openvpn/keys*" do servidor, a mesma pasta utilizada pelos
arquivos com os certificados.

Para que ele passe a ser utilizado pelo OpenVPN, adicione o parâmetro
"crl-verify" na configuração do servidor, especificando a localização do
arquivo, como em:
crl-verify /etc/openvpn/keys/crl.pem

Para que a alteração entre em vigor, reinicie o OpenVPN:
# /etc/init.d/openvpn restart


Com isso, o cliente perde imediatamente o acesso à VPN e passa a receber um
erro "TLS Error: TLS handshake failed" ao tentar se conectar novamente.

Para revogar mais chaves, repita o processo, não se esquecendo de copiar o
arquivo atualizado para a pasta "/etc/openvpn/keys" do servidor a cada
alteração. Se você está gerando as chaves usando o próprio servidor, pode
também especificar diretamente o arquivo na pasta
"/etc/openvpn/easy-rsa/keys" na opção; assim você elimina a necessidade de
copiar manualmente o arquivo a cada alteração. Um exemplo de configuração
seria:
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem

Para que o OpenVPN leia o arquivo atualizado, use o parâmetro "reload" do
serviço. Isso atualiza a configuração sem derrubar os clientes conectados:
# /etc/init.d/openvpn reload

Fonte: http://www.hardware.com.br/tutoriais/openvpn_2/pagina5.html

Abraços, ÍndioX
--
Claudio P Costa


Mais detalhes sobre a lista de discussão freebsd