OpenVPN 用户证书
OpenVPN user certificates
我无法理解 OpenVPN 与 EasyRsa 的组合。
我已阅读 this instructions
我不明白客户端密钥是如何签名和撤销的。
当我在 CA 服务器上注册用户证书和密钥时,openVPN 服务器确定用户已通过同一 CA 服务器签署了他的证书和密钥并允许用户连接?
类似于 https 受信任的证书服务器(例如 LetsEncrypt)
对吗?
如果我想阻止用户访问 openVPN,我需要吊销 CA 服务器上的证书。
但是openVPN服务器怎么会知道这个用户没有更多的权限访问openVPN呢?
仅在额外证书吊销列表的帮助下?
这是用 easyrsa gen-crl 和 synced/copied 从 CA 服务器到 openVPN 服务器生成的?
但是,如果用户证书已过期,那么 openVPN 服务器将根本不接受连接?
我说的对吗?
要撤销证书,您可以创建一个证书列表,并告诉您的 OpenVPN 服务器,当客户端进入时,他们需要使用此列表进行验证。
使用“./revoke-full client_name”命令,将禁止的客户端添加到 crl.pem 文件。然后,将此文件复制到服务器配置目录。
为了让服务器在客户端进入时检查这个文件,它需要在配置文件中输入行"crl-verify crl.pem"。
注意力!如果这个字符串出现在配置文件中,但是这个文件不存在,服务器将停止让所有客户端!
我无法理解 OpenVPN 与 EasyRsa 的组合。
我已阅读 this instructions
我不明白客户端密钥是如何签名和撤销的。
当我在 CA 服务器上注册用户证书和密钥时,openVPN 服务器确定用户已通过同一 CA 服务器签署了他的证书和密钥并允许用户连接?
类似于 https 受信任的证书服务器(例如 LetsEncrypt)
对吗?
如果我想阻止用户访问 openVPN,我需要吊销 CA 服务器上的证书。
但是openVPN服务器怎么会知道这个用户没有更多的权限访问openVPN呢?
仅在额外证书吊销列表的帮助下?
这是用 easyrsa gen-crl 和 synced/copied 从 CA 服务器到 openVPN 服务器生成的?
但是,如果用户证书已过期,那么 openVPN 服务器将根本不接受连接?
我说的对吗?
要撤销证书,您可以创建一个证书列表,并告诉您的 OpenVPN 服务器,当客户端进入时,他们需要使用此列表进行验证。
使用“./revoke-full client_name”命令,将禁止的客户端添加到 crl.pem 文件。然后,将此文件复制到服务器配置目录。 为了让服务器在客户端进入时检查这个文件,它需要在配置文件中输入行"crl-verify crl.pem"。 注意力!如果这个字符串出现在配置文件中,但是这个文件不存在,服务器将停止让所有客户端!