Révocation de certificats
This commit is contained in:
parent
50d353db42
commit
e6bb017b17
|
@ -284,6 +284,29 @@ Il faut le révoquer, puis en recréer un :
|
||||||
|
|
||||||
Si c'est le certificat du serveur OpenVPN, il faut en plus modifier la configuration puis relancer le démon.
|
Si c'est le certificat du serveur OpenVPN, il faut en plus modifier la configuration puis relancer le démon.
|
||||||
|
|
||||||
|
### Révoquer un certificat avec shellpki
|
||||||
|
|
||||||
|
Il faut regénérer une CRL après chaque révocation de certificat :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
# cd /etc/openvpn/ssl
|
||||||
|
# sh shellpki.sh revoke
|
||||||
|
# sh shellpki.sh crl
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Le fichier `/etc/openvpn/ssl/crl.pem` est alors créé. La configuration d'OpenVPN doit être ajustée pour vérifier la CRL :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
crl-verify /etc/openvpn/ssl/crl.pem
|
||||||
|
~~~
|
||||||
|
|
||||||
|
#### Vérifier les certificats révoqués
|
||||||
|
|
||||||
|
~~~
|
||||||
|
# openssl crl -inform PEM -text -noout -in /etc/openvpn/ssl/crl.pem
|
||||||
|
~~~
|
||||||
|
|
||||||
|
L'association entre le numéro de série indiqué et le CN du certificat correspondant peut être faite à l'aide du fichier `/etc/openvpn/ssl/ca/index.txt`
|
||||||
|
|
||||||
### Client sous Linux
|
### Client sous Linux
|
||||||
|
|
||||||
|
|
Loading…
Reference in a new issue