Мне только что удалось правильно настроить OpenVPN на моем сервере и проверить, правильно ли он работает с клиентскими компьютерами, и я задумался, как можно генерировать ключи OpenVPN, когда клиенты приходят и уходят.
Нужно ли переделывать рулевой .dh файл и воссоздать все предыдущие клиентские ключи, поскольку мне просто нужно добавить или удалить клиента?
Спасибо
Как говорит Энси, при условии, что вы создали свой собственный CA, вы просто создаете еще один ключ для нового пользователя. Прежде чем еще что-нибудь наберется, при настройке openVPN вы создали свой собственный центр сертификации, как рекомендовано, не так ли?
Изменить: ОК, затем
cd easy-rsa
. ./vars
./build-key newclient
У меня также есть где-то заметки о создании CRL, который позволяет отзывать старые сертификаты и указании openVPN на crl, но я не могу сразу их найти.
Мое решение:
У меня есть собственный центр сертификации, и каждый раз, когда мне нужен новый клиент, я просто создаю еще один сертификат. Это просто, и я уверен, что вы можете сделать то же самое даже с easyRSA поставляется с openVPN.
Он также более универсален, потому что вы можете легко управлять сертификатами для других сервисов, таких как apache и т. Д.
Используйте параметр duplicate-cn и один ключ для всех клиентов или используйте easy-rsa для создания пользователя сертификация.
Вы также можете связать CN (содержащую имя пользователя для входа) сертификата пользователя с логином, который вы можете администрировать, например, с помощью FreeRADIUS. Пару лет назад я написал небольшой скрипт интеграции. Таким образом, вы можете просто заблокировать доступ пользователей, удалив их из списка пользователей FreeRADIUS. Идея состоит в том, что сертификат будет защищать VPN от кого-либо еще, а логин FreeRADIUS от самого пользователя (если логин пользователя должен быть отозван). Вы можете найти сценарий и дополнительную информацию Вот.