https://www.opennet.ru/openforum/vsluhforumID10/3710.html добрый день, возникла такая проблема. уже очень давно пользуюсь openvpn, имеется некоторый набор ключей клиентов и клиенты с помощью этих ключей подсоединяются к серверу.<br>но теперь возникла такая необходимость удалить некоторых пользователей, сделать так чтобы некоторые клиентские ключи были более не действительны, чтобы с помощью этого ключа более невозможно было подключится.<br><br>пробовал -revoke<br>получаю:<br>revoking sertifikate такойто<br>datbase updated<br><br>но пользователь всеравно свободно может подключится даже после перезагрузки.<br><br>ключи в директории /usr/local/etc/openvpn/keys удалять тоже не получается, всеравно работает.<br><br>как же можно обезопасить систему?<br><br>еще пробовал просто сгенерировать ключи пользователя заново с помощью скрипта build-key<br>всеравно никаких результатов<br> https://www.opennet.ru/openforum/vsluhforumID10/3710.html#4 Mon, 22 Dec 2008 07:19:46 GMT &gt;Здравствуйтею, а возможно ли просто приостановка пользователя или нескольких пользователей, потому что <br>&gt;как описано в этом методе, даже после удаления crl.pem пользователь <br>&gt;не может зайти обратно через опенвпн. <br><br>Вот здесь описано как<br>http://openvpn.net/archive/openvpn-users/2005-12/msg00087.html<br> https://www.opennet.ru/openforum/vsluhforumID10/3710.html#3 Sun, 09 Nov 2008 12:54:07 GMT &gt;[оверквотинг удален]<br>&gt;3. Копируешь только что создавшийся файл crl.pem в папку с конфигом твоего <br>&gt;впн сервера (server.conf), например: cp keys/crl.pem /etc/openvpn/ <br>&gt;<br>&gt;4. Редактируешь server.conf, и смотришь, что бы там была раскоментирована эта строчка: <br>&gt;<br>&gt;crl-verify crl.pem <br>&gt;<br>&gt;5. Делаешь рестарт: service openvpn restart <br>&gt;<br>&gt;Всё. Теперь клиент client1 твой впн сервер использовать не сможет. <br><br>Здравствуйтею, а возможно ли просто приостановка пользователя или нескольких пользователей, потому что как описано в этом методе, даже после удаления crl.pem пользователь не может зайти обратно через опенвпн.<br> https://www.opennet.ru/openforum/vsluhforumID10/3710.html#2 Wed, 08 Oct 2008 11:13:09 GMT Всё на самом деле очень просто.<br>1. Делаешь: ./revoke-full client1<br> а) если выводит ошибку такого типа: error on line 282 of config file '....openvpn/easy-rsa/openssl.cnf', то делаешь следующее: <br>vi openssl.cnf<br>#[ pkcs11_section ]<br>#engine_id = pkcs11<br>#dynamic_path = /usr/lib/engines/engine_pkcs11.so<br>#MODULE_PATH = $ENV::PKCS11_MODULE_PATH<br>#PIN = $ENV::PKCS11_PIN<br>#init = 0<br>т.е. комментируешь все эти строчки. И снова выполняешь пункт 1.<br><br>2. Если такой ошибки небыло, то ты должен увидеть следующее: Revoking Certificate ...<br>Data Base Updated<br><br>3. Копируешь только что создавшийся файл crl.pem в папку с конфигом твоего впн сервера (server.conf), например: cp keys/crl.pem /etc/openvpn/<br><br>4. Редактируешь server.conf, и смотришь, что бы там была раскоментирована эта строчка: <br>crl-verify crl.pem<br><br>5. Делаешь рестарт: service openvpn restart<br><br>Всё. Теперь клиент client1 твой впн сервер использовать не сможет.<br> https://www.opennet.ru/openforum/vsluhforumID10/3710.html#1 Sat, 22 Mar 2008 14:30:27 GMT Почитайте тут http://www.opennet.ru/base/sec/ssl_cert.txt.html (Разделы "Создание списка отзыва" (CRL) и "Отзыв сертификата").<br>