CentOS 5.2 に OpenVPN を突っ込むテスト[7]

・CentOS 5.2 に OpenVPN を突っ込むテスト[6] の続きです。

だんだん、本番モードになってきました。クライアント証明書の期間を、10年では長すぎるので、3年にします。また、発行済みクライアント証明書を、無効にする方法&サーバが無効リストを参照する方法を設定してみます。

□クライアント証明書を10年→3年にしよう!

CentOS 5.2 に OpenVPN を突っ込むテスト[1] の□クライアント証明書を作ろう!の所で使った var ファイルを編集する。

/etc/openvpn/easy-rsa/2.0/var の export KEY_EXPIRE=3650 → 1095 に変更する。10年から3年になる。

□証明書廃止リストを参照させるようにしよう!

/etc/openvpn/server.conf に、こんな感じで追加する。

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/server.crt
key /etc/openvpn/easy-rsa/2.0/keys/server.key
crl-verify /etc/openvpn/crl.pem

□クライアント証明書を廃止してみよう!

では、その前に仮の証明書を作る。作り方は、CentOS 5.2 に OpenVPN を突っ込むテスト[1] の□クライアント証明書を作ろう!を参照。

今回は、面倒なのでclient1を廃止しちゃいますw

root権限になり、/etc/openvpn/easy-rsa/2.0 に移動。

sudo su –
cd /etc/openvpn/easy-rsa/2.0
source ./vars
./revoke-full client1

生成された crl.pem は、何かnobody になった後に読みに行くらしく、/etc/openvpn/easy-rsa/2.0/keys が見れません。そこで、シンボリックリンクを張ります ではダメでコピーしてくるしかないらしい。

# pwd
/etc/openvpn/
# cp easy-rsa/2.0/keys/crl.pem .

これで、クライアント証明書が廃止されたので、繋がらなくなる「はず」

では、新しく証明書を作りましょう。

sudo su –
cd /etc/openvpn/easy-rsa/2.0
source ./vars
./build-key-pass client10

で、それをWindowsXP等のクライアントにコピーして、再度繋げてみる。お！繋がった。client1 では認証で止まる。良い感じ。

以降、CentOS 5.2 に OpenVPN を突っ込むテスト[8] に続く