Система FreeBSD но неважно...
После ответов на все вопросы и заполнения уникальных полей, в подкаталоге keys/server будет лежать комплект файлов <Name>.* Это и есть искомые сертификаты.
Копируем только что создавшийся crl.pem на место того, который уже есть (путь к нему нужно смотреть в файле openvon.conf, параметр crl-verify). Если такого параметра нет – то добавляем его и указываем местоположение нового файлаГенерация ключа для Удаленного доступа OpenVPN
$ cd /usr/local/share/doc/openvpn/easy-rsa/2.0При генерации многих клиентов можно предварительно заполнить файл vars значениями по умолчанию.
#. ./vars
#./build-key-pkcs12 <Name>
После ответов на все вопросы и заполнения уникальных полей, в подкаталоге keys/server будет лежать комплект файлов <Name>.* Это и есть искомые сертификаты.
Отзыв сертификатов
$ cd /usr/local/etc/openvpn/easy-rsa/2.0
# . ./vars# ./revoke-full <Name> # для каждого удаляемого клиента проделываем такую операцию"Revoking Certificate ... Data Base Updated"
crl-verify /usr/local/etc/openvpn/crl.pemПосле этого ОБЯЗЯТЕЛЬНО ВЫСТАВЛЯЕМ ПРАВА ДЛЯ ФАЙЛА crl.pem 644, иначе работать не будет. openvpn не сможет прочесть этот файл (у меня openvpn работает от юзера nobody).
Делаем рестарт демона:
#/usr/local/etc/rc.d/openvpn restartТеперь не смогут подключится те, кого мы удалили из базы.
Комментариев нет:
Отправить комментарий