《Linux系统安全:纵深防御、安全扫描与入侵检测 》 —3.6 回收OpenVPN客户端的证书

华章计算机 发表于 2019/11/14 12:27:56 2019/11/14
【摘要】 本节书摘来自华章计算机《Linux系统安全:纵深防御、安全扫描与入侵检测》一书中第3章,第3.6节,作者是胥峰。

3.6 回收OpenVPN客户端的证书

如果我们分发给客户端的证书不慎被窃取了,或者相关员工离职了,那么我们必须确认它不能继续通过OpenVPN接入我们的虚拟专用网络。在此情况下,我们以收回vpnclient2的证书为例,需要使用如下的命令:

. ./vars

./revoke-full vpnclient2

这样会在keys目录下产生一个文件crl.pem。我们把它复制到/etc/openvpn目录下。然后在server.conf中加入下面一行:

crl-verify crl.pem

这样,每次建立虚拟专用网络连接前,OpenVPN服务器会查看crl.pem,来确定客户端的证书是否在收回的列表里面。如果匹配到,则禁止客户端进行连接。


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。