Revogando certificados digitais (OpenVPN) [Dica]

Revogando certificados digitais (OpenVPN)

Dica publicada em Linux / Avançado

Revogando certificados digitais (OpenVPN)

Para revogar um certificado, utilize as configurações abaixo:

No servidor da VPN, entre na pasta onde estão os certificados gerados que geralmente ficam na pasta:

# cd /etc/pki/CA/newcerts/

Obs.: Isso vária de distribuição.

Essa pasta contém todos os certificados gerados, porém com o nome diferente dos nomes criados:

01.pem 0F.pem 1C.pem 29.pem 36.pem 9E.pem AB.pem B8.pem C5.pem

Portanto, para você descobrir qual o arquivo que refere-se ao certificado criado, use o comando abaixo:

# fgrep "usuário"."domínio" *

A saída irá indicar em qual arquivo está armazenado o histórico do certificado procurado.

01.pem:Subject: C="País", ST="Estado", O="Empresa", OU="Departamento",CN="usuário"."domínio"/emailAddress="usuário"@"domínio"

Agora que já sabemos o arquivo, é só usar o comando para revogar o certificado.

# openssl ca -revoke 01.pem

Na sequência, digite a senha do servidor VPN e tecle enter.

Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/"arquivo".pem:
DEBUGload_index: unique_subject = "yes"
Adding Entry with serial number D3 to DB for /C="País"/ST="Estado"/O="Empresa"/OU="Departamento"/CN="usuário"."domínio"
Revoking Certificate D3.
Data Base Updated

Agora o certificado já foi revogado.

Comentários

#1 Comentário enviado por joaomc em 15/10/2007 - 09:53h

Por falar em OpenVPN, como anda o projeto? A versão 2.1 parece que não vai ser lançada nunca, não tem mais notícia nova no site deles... Será que o projeto morreu?

#2 Comentário enviado por brfaria em 15/10/2007 - 14:08h

Prezado Joaomc,
Não sei te responder.
O que sei é que já faz mais de 1 ano sem lançamento de nova versão.
Isso, realmente é preocupante em se tratando de na minha opinião um dos melhores softwares de VPN do mercado.
Abraços.

#3 Comentário enviado por wppitp em 14/04/2023 - 21:58h

Atualmente tenho uma Openvpn criada a muito tempo, sequi esses passos para criar;

yum install epel-release

Uma vez que o repositório esteja habilitado, instale os pacotes openvpn e openssl:

yum install openvpn openssl

2. Gerar autoridade de certificação local
Primeiro, gere os parâmetros Diffie-Hellman (arquivo DH) que é usado para proteger a troca de chaves entre o servidor e o cliente. Este comando pode demorar um pouco para ser executado dependendo do servidor.

openssl dhparam -out /etc/openvpn/dh.pem 2048

Gerar ca.crt (autoridade de certificação) arquivo:

openssl genrsa -out /etc/openvpn/ca.key 2048
chmod 600 /etc/openvpn/ca.key
openssl req -new -key /etc/openvpn/ca.key -out /etc/openvpn/ca.csr -subj /CN=OpenVPN-CA/
openssl x509 -req -in /etc/openvpn/ca.csr -out /etc/openvpn/ca.crt -signkey /etc/openvpn/ca.key -days 365
echo 01 > /etc/openvpn/ca.srl

3. Configurar o servidor OpenVPN
Criar certificado e chave do servidor com os seguintes comandos gerará um certificado e chave do servidor:

openssl genrsa -out /etc/openvpn/server.key 2048
chmod 600 /etc/openvpn/server.key
openssl req -new -key /etc/openvpn/server.key -out /etc/openvpn/server.csr -subj /CN=OpenVPN/
openssl x509 -req -in /etc/openvpn/server.csr -out /etc/openvpn/server.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 365

4. Criar arquivo de configuração do servidor OpenVPN
Você pode copiar e editar a configuração padrão do OpenVPN ou criar um novo a partir do zero.

nano /etc/openvpn/server.conf
server 10.8.0.0 255.255.255.0
verb 3
key /etc/openvpn/server.key
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
dh /etc/openvpn/dh.pem
keepalive 10 120
persist-key
persist-tun
comp-lzo
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

user nobody
group nogroup

proto udp
port 1194
dev tun1194
status openvpn-status.log
salve o arquivo e ative e inicie o serviço OpenVPN com:

systemctl enable openvpn@server
systemctl start openvpn@server

Adicione a seguinte iptablesregra para que o tráfego possa sair da VPN. Mude o eth0com a interface de rede pública do seu servidor.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Nota: Se você estiver executando um VPS baseado em openvz em
vez da regra acima, adicione:iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source YOUR_SERVER_IP>

Finalmente, também precisamos permitir o encaminhamento IP:

sysctl -w net.ipv4.ip_forward=1

5. Criar certificado e chave do cliente
Os seguintes comandos gerarão um certificado e chave do cliente:

openssl genrsa -out /etc/openvpn/client.key 2048
chmod 600 /etc/openvpn/client.key
openssl req -new -key /etc/openvpn/client.key -out /etc/openvpn/client.csr -subj /CN=OpenVPN-Client/
openssl x509 -req -in /etc/openvpn/client.csr -out /etc/openvpn/client.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 36525

Em seguida, copie os seguintes arquivos para a máquina do cliente

/etc/openvpn/ca.crt
/etc/openvpn/client.crt
/etc/openvpn/client.key

6. Inicie OpenVPN no CentOS 7
Inicie o seu cliente OpenVPN com a seguinte configuração.

client
nobind
dev tun
redirect-gateway def1 bypass-dhcp
remote YOUR_SERVER_IP 1194 udp
comp-lzo yes
duplicate-cn
key /etc/openvpn/client.key
cert /etc/openvpn/client.crt
ca /etc/openvpn/ca.crt

Problema agora que precisei remover um usuario, e simplesmente apaguei o arquivo client.key e client.crt e client.csr do servidor linux que fica em /etc/openvpn/ e mesmo assim o cliente se conecta, mesmo sem os arquivos no servidor.

Acredito que ele fica registrado aqui:

openssl x509 -req -in /etc/openvpn/client.csr -out /etc/openvpn/client.crt -CA /etc/openvpn/ca.crt -CAkey /etc/openvpn/ca.key -days 36525

ou openssl req -new -key /etc/openvpn/client.key -out /etc/openvpn/client.csr -subj /CN=OpenVPN-Client/

Pergunta: Como remover o usuario em questao?

Obrigado

Revogando certificados digitais (OpenVPN)

Revogando certificados digitais (OpenVPN)

Outras dicas deste autor

Leitura recomendada

Comentários

Contribuir com comentário