OpenVPN не отзывается ключ revoke-full

[Cancer]

Нужно собственно для отзыва старого ключега.

Код: Выделить всё

#. ./vars
# ./revoke-full onotole
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
unable to load certificate
29115:error:0906D06C:PEM routines:PEM_read_bio:no start line:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pem/pem_lib.c:637:Expecting: TRUSTED CERTIFICATE
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
unable to load certificate
29118:error:0906D06C:PEM routines:PEM_read_bio:no start line:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pem/pem_lib.c:637:Expecting: TRUSTED CERTIFICATE

А вот создаю тестовый и все нормально!

Код: Выделить всё

# ./build-key-pkcs12 cancer2
Generating a 1024 bit RSA private key
...............++++++
......++++++
writing new private key to 'cancer2.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) [Rostov]:
Locality Name (eg, city) [Rostov-on-Don]:
Organization Name (eg, company) [server]:
Organizational Unit Name (eg, section) []:server
Common Name (eg, your name or your server's hostname) []:cancer2
Email Address [postmaster@xxxx.ru]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:cancer2
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'RU'
stateOrProvinceName   :PRINTABLE:'Rostov'
localityName          :PRINTABLE:'Rostov-on-Don'
organizationName      :PRINTABLE:'server'
organizationalUnitName:PRINTABLE:'server'
commonName            :PRINTABLE:'cancer2'
emailAddress          :IA5STRING:'postmaster@xxxx.ru'
Certificate is to be certified until Dec  4 16:00:12 2019 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Enter Export Password:
Verifying - Enter Export Password:
# exit

Код: Выделить всё

[xxxx] /usr/local/share/doc/openvpn/easy-rsa/>sh
# . ./vars
# ./revoke-full cancer2
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate 1E.
Data Base Updated
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
cancer2.crt: /C=RU/ST=Rostov/O=server/OU=server/CN=cancer2/emailAddress=postmaster@xxxx.ru
error 23 at 0 depth lookup:certificate revoked

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[skeletor]

Нашёл в инете, чел пишет:

Код: Выделить всё

если выводит ошибку такого типа: error on line 282 of config file '....openvpn/easy-rsa/openssl.cnf', то делаешь следующее:
vi openssl.cnf
#[ pkcs11_section ]
#engine_id = pkcs11
#dynamic_path = /usr/lib/engines/engine_pkcs11.so
#MODULE_PATH = $ENV::PKCS11_MODULE_PATH
#PIN = $ENV::PKCS11_PIN
#init = 0
т.е. комментируешь все эти строчки. И снова выполняешь ./revoke-full client1.

[Cancer]

Неа нету секции

Код: Выделить всё

[ pkcs11_section ]

И не одной строки похожей

[skeletor]

Вот, что сказано в доке:

Revoking Certificates

Revoking a certificate means to invalidate a previously signed certificate so that it can no longer be used for authentication purposes.

Typical reasons for wanting to revoke a certificate include:

* The private key associated with the certificate is compromised or stolen.
* The user of an encrypted private key forgets the password on the key.
* You want to terminate a VPN user's access.

Example

As an example, we will revoke the client2 certificate, which we generated above in the "key generation" section of the HOWTO.

First open up a shell or command prompt window and cd to the easy-rsa directory as you did in the "key generation" section above. On Linux/BSD/Unix:

. ./vars
./revoke-full client2

On Windows:

vars
revoke-full client2

You should see output similar to this:

Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate 04.
Data Base Updated
Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
client2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/emailAddress=me@myhost.mydomain
error 23 at 0 depth lookup:certificate revoked

Note the "error 23" in the last line. That is what you want to see, as it indicates that a certificate verification of the revoked certificate failed.

The revoke-full script will generate a CRL (certificate revocation list) file called crl.pem in the keys subdirectory. The file should be copied to a directory where the OpenVPN server can access it, then CRL verification should be enabled in the server configuration:

crl-verify crl.pem

Now all connecting clients will have their client certificates verified against the CRL, and any positive match will result in the connection being dropped.

[Cancer]

Ага да читал я это

по твоему как я удалял, вот только почему этот ключ не отзывается хз

[kuril]

Ага да читал я это

по твоему как я удалял, вот только почему этот ключ не отзывается хз

The revoke-full script will generate a CRL (certificate revocation list) file called crl.pem in the keys subdirectory. The file should be copied to a directory where the OpenVPN server can access it, then CRL verification should be enabled in the server configuration:

crl-verify crl.pem

т.е. в конфиге опенвпн допиши опцию проверки отозванных сертификатов, только после рестарта сервера - посмотри в логе, чтобы он нашел этот crl.pem, а не обругался на него.

[Cancer]

Да причем тут это???

Тут ключ не отзывается сам... и создать не дает мне его!

Код: Выделить всё

# . ./vars
NOTE: when you run ./clean-all, I will be doing a rm -rf on /usr/local/share/doc/openvpn/easy-rsa/keys/server
# ./build-key-pkcs12 onotole
Generating a 1024 bit RSA private key
..........++++++
......++++++
writing new private key to 'onotole.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) [Rostov]:
Locality Name (eg, city) [Rostov-on-Don]:
Organization Name (eg, company) [server]:
Organizational Unit Name (eg, section) []:server
Common Name (eg, your name or your server's hostname) []:onotole
Email Address [postmaster@domain.ru]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:onotole
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'RU'
stateOrProvinceName   :PRINTABLE:'Rostov'
localityName          :PRINTABLE:'Rostov-on-Don'
organizationName      :PRINTABLE:'server'
organizationalUnitName:PRINTABLE:'server'
commonName            :PRINTABLE:'onotole'
emailAddress          :IA5STRING:'postmaster@domain.ru'
Certificate is to be certified until Jan 31 11:01:17 2020 GMT (3650 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2

[T_T]

Так и не победили ?
у меня такая же ситуация :

Код: Выделить всё

[root@mail /usr/local/share/doc/openvpn/easy-rsa/2.0]# ./revoke-full petrivanov
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf
Error opening petrivanov.crt petrivanov.crt
50994:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:356:fopen('petrivanov.crt','r')
50994:error:20074002:BIO routines:FILE_CTRL:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:358:
unable to load certificate
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf
Error opening certificate file petrivanov.crt
50997:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:356:fopen('petrivanov.crt','r')
50997:error:20074002:BIO routines:FILE_CTRL:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:358:
unable to load certificate

такое чувство как будто и не было такого сертификата, но по нему подключается =\

[гость8080]

http://www.opennet.ru/openforum/vsluhfo ... /3710.html

Сообщение от http://www.guruperl.net on 08-Окт-08, 15:13

Всё на самом деле очень просто.
1. Делаешь: ./revoke-full client1
а) если выводит ошибку такого типа: error on line 282 of config file '....openvpn/easy-rsa/openssl.cnf', то делаешь следующее:
vi openssl.cnf
#[ pkcs11_section ]
#engine_id = pkcs11
#dynamic_path = /usr/lib/engines/engine_pkcs11.so
#MODULE_PATH = $ENV::PKCS11_MODULE_PATH
#PIN = $ENV::PKCS11_PIN
#init = 0
т.е. комментируешь все эти строчки. И снова выполняешь пункт 1.

2. Если такой ошибки небыло, то ты должен увидеть следующее: Revoking Certificate ...
Data Base Updated

3. Копируешь только что создавшийся файл crl.pem в папку с конфигом твоего впн сервера (server.conf), например: cp keys/crl.pem /etc/openvpn/

4. Редактируешь server.conf, и смотришь, что бы там была раскоментирована эта строчка:
crl-verify crl.pem

5. Делаешь рестарт: service openvpn restart

Всё. Теперь клиент client1 твой впн сервер использовать не сможет.
-----------------------
здесь ключевой 4-й пункт )))

[T_T]

Не прокатило =\

Было

Код: Выделить всё

[root@mail /usr/local/share/doc/openvpn/easy-rsa/2.0]# . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server
[root@mail /usr/local/share/doc/openvpn/easy-rsa/2.0]# ./revoke-full user-1c
cd: can't cd to /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server
Using configuration from.cnf
Error opening CA private key /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key
2012:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:356:fopen('/usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key','r')
2012:error:20074002:BIO routines:FILE_CTRL:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:358:
unable to load CA private key
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf
Error opening CA private key /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key
2013:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:356:fopen('/usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key','r')
2013:error:20074002:BIO routines:FILE_CTRL:systemlib:/usr/src/secure/lib/libcry                                                                                                                                                             pto/../../../crypto/openssl/crypto/bio/bss_file.c:358:
unable to load CA private key
cat: ca.crt: No such file or directory
cat: crl.pem: No such file or directory
Error loading file revoke-test.pem
usage: verify [-verbose] [-CApath path] [-CAfile file] [-purpose purpose] [-crl_check] [-engine e] cert1 cert2 ...
recognized usages:
        sslclient       SSL client
        sslserver       SSL server
        nssslserver     Netscape SSL server
        smimesign       S/MIME signing
        smimeencrypt    S/MIME encryption
        crlsign         CRL signing
        any             Any Purpose
        ocsphelper      OCSP helper

Подправил ee /usr/local/share/doc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf

Код: Выделить всё

#[ pkcs11_section ]
#engine_id = pkcs11
#dynamic_path = /usr/lib/engines/engine_pkcs11.so
#MODULE_PATH = $ENV::PKCS11_MODULE_PATH
#PIN = $ENV::PKCS11_PIN
#init = 0

Пробую

Код: Выделить всё

[root@mail /usr/local/share/doc/openvpn/easy-rsa/2.0]# ./revoke-full user-1c
cd: can't cd to /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf
Error opening CA private key /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key
2035:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:356:fopen('/usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key','r')
2035:error:20074002:BIO routines:FILE_CTRL:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:358:
unable to load CA private key
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf
Error opening CA private key /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key
2036:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:356:fopen('/usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key','r')
2036:error:20074002:BIO routines:FILE_CTRL:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:358:
unable to load CA private key
cat: ca.crt: No such file or directory
cat: crl.pem: No such file or directory
Error loading file revoke-test.pem
usage: verify [-verbose] [-CApath path] [-CAfile file] [-purpose purpose] [-crl_check] [-engine e] cert1 cert2 ...
recognized usages:
        sslclient       SSL client
        sslserver       SSL server
        nssslserver     Netscape SSL server
        smimesign       S/MIME signing
        smimeencrypt    S/MIME encryption
        crlsign         CRL signing
        any             Any Purpose
        ocsphelper      OCSP helper
[root@mail /usr/local/share/doc/openvpn/easy-rsa/2.0]# . ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server
[root@mail /usr/local/share/doc/openvpn/easy-rsa/2.0]# ./revoke-full user-1c
cd: can't cd to /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf
Error opening CA private key /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key
2052:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:356:fopen('/usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key','r')
2052:error:20074002:BIO routines:FILE_CTRL:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:358:
unable to load CA private key
Using configuration from /usr/local/share/doc/openvpn/easy-rsa/2.0/openssl-0.9.8.cnf
Error opening CA private key /usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key
2053:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:356:fopen('/usr/local/share/doc/openvpn/easy-rsa/2.0/keys/server/ca.key','r')
2053:error:20074002:BIO routines:FILE_CTRL:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:358:
unable to load CA private key
cat: ca.crt: No such file or directory
cat: crl.pem: No such file or directory
Error loading file revoke-test.pem
usage: verify [-verbose] [-CApath path] [-CAfile file] [-purpose purpose] [-crl_check] [-engine e] cert1 cert2 ...
recognized usages:
        sslclient       SSL client
        sslserver       SSL server
        nssslserver     Netscape SSL server
        smimesign       S/MIME signing
        smimeencrypt    S/MIME encryption
        crlsign         CRL signing
        any             Any Purpose
        ocsphelper      OCSP helper

В итоге не удалось убрать этого польлзователя =\

[elakeri]

У меня тоже была такая ситуация. Пока искал наткнулся на этот топик. Короче как я понял revoke-full заносит сначала в crl.pem тот сертификат, который надо удалить. Потом через какое-то время этот список опустошается и он удаляется из базы. Посмотреть список можно list-crl. Единственное я не понял как это можно сделать принудительно и, если не принудительно, то через какие интервалы времени это делается.

[skeletor]

принудительно перезапустить openvpn через kill -HUP

[snorlov]

О чем весь сыр-бор то, когда вы создаете сертификат, то он прописывается в базе, когда вы удапяете его, то в базе он помечается как просроченный, но поскольку время до которого он действует еще не настало, то формируется crl список, который вы подсовываете соответствующему проверяльщику, у меня к примеру это радиус, но при этом его перезапустить или заставить его перечитать параметры. Ошибка, которая у вас выползает, заключена в некорректности конфига openssl, если параметра нет в конфиге, это не означает, что он не нужен, он просто инициализируется по умолчанию...