Я хочу ограничить пользователя, указав каталог, и теперь ситуация такова, что openvpn работает успешно, но ограничение пользователя не работает. введите описание изображения здесь
введите описание изображения здесь Официальные документы следующие:
Проверьте сертификат партнера по файлу crl в формате PEM. CRL (список отзыва сертификатов) используется, когда конкретный ключ скомпрометирован, но общая PKI еще не повреждена.
Предположим, у вас есть PKI, состоящая из CA, корневого сертификата и ряда клиентских сертификатов. Предположим, был украден портативный компьютер, содержащий клиентский ключ и сертификат. Добавив украденный сертификат в файл CRL, вы можете отклонить любое соединение, которое пытается его использовать, сохраняя при этом общую целостность PKI.
Единственный раз, когда потребуется перестроить всю PKI с нуля, будет, если будет скомпрометирован сам ключ корневого сертификата.
Если указан необязательный флаг dir, включите другой режим, где crl - это каталог, содержащий файлы, названные как отозванные серийные номера (файлы могут быть пустыми, содержимое никогда не читается). Если клиент запрашивает соединение, где серийный номер сертификата клиента (десятичная строка) является именем файла, присутствующего в каталоге, он будет отклонен.
Примечание. Поскольку файл crl (или каталог) читается каждый раз, когда одноранговый узел подключается, если вы отбрасываете привилегии root с помощью --user, убедитесь, что у этого пользователя достаточно прав для чтения файла.
Соображения безопасности
--crl-verify не проверяет, правильно ли подписан CRL CA. Он просто проверяет соответствие издателей CRL CA CN. Следовательно, пользователи должны убедиться, что предоставленный CRL верен.
OpenVPN 2.4 и новее решают эту проблему.
