J'ai du mal à comprendre la combinaison de OpenVPN avec EasyRsa.
J'ai lu ces instructions
Je ne comprends pas comment signer et révoquer les clés client.
Lorsque je me connecte au serveur CA pour le certificat et les clés de l'utilisateur, le serveur openVPN détermine que l'utilisateur a signé ses certificats et ses clés par le même serveur CA et permet à l'utilisateur de se connecter ?
Similaire à https avec un serveur de certification de confiance (exemple LetsEncrypt)
Droit?

Si je veux empêcher l'utilisateur d'accéder à openVPN, je dois révoquer le certificat sur le serveur CA.
Mais comment le serveur openVPN comprendra-t-il que cet utilisateur n'a plus les droits d'accès à openVPN ? Uniquement avec l'aide d'une liste de révocation de certificats supplémentaire ?
Qui est généré avec easyrsa gen-crl et synchronisé/copié du serveur CA au serveur openVPN ?
Cependant, si le certificat utilisateur a expiré, le serveur openVPN n'acceptera tout simplement pas la connexion ?
Ai-je raison?

0
UNIm95 18 févr. 2020 à 13:29

1 réponse

Meilleure réponse

Pour révoquer des certificats, vous en créez une liste et dites à votre serveur OpenVPN que lorsque les clients entrent, ils doivent être vérifiés à l'aide de cette liste.

En utilisant la commande "./revoke-full client_name", vous ajoutez des clients interdits au fichier crl.pem. Ensuite, copiez ce fichier dans le répertoire de configuration du serveur. Pour que le serveur vérifie ce fichier lorsque les clients entrent, il doit entrer la ligne "crl-verify crl.pem" dans le fichier de configuration. Attention! Si cette chaîne apparaît dans le fichier de configuration, mais que ce fichier n'existe pas, le serveur arrêtera de laisser passer tous les clients !

1
ogogon 18 févr. 2020 à 11:08