Acabei de configurar o OpenVPN adequadamente no meu servidor e testá-lo para funcionar corretamente com computadores cliente e fiquei imaginando como as chaves do OpenVPN podem ser geradas conforme os clientes vêm e vão.
É necessário recriar o arquivo diffie helman .dh e recriar todas as chaves de cliente anteriores, pois só preciso adicionar ou remover um cliente?
Obrigado
Como diz Ency, desde que você tenha criado sua própria CA, basta criar outra chave para o novo usuário. Antes de mais ser digitado, quando você configura o openVPN você criou sua própria CA, como recomendado, não é?
Editar: OK, então
cd easy-rsa
source ./vars
./build-key newclient
Eu também tenho algumas notas sobre como fazer uma CRL, o que permite revogar certificados antigos e apontar o openVPN para o crl, mas não consigo encontrá-los imediatamente.
Minha solução é:
Eu tenho minha própria Autoridade de Certificação e sempre que preciso de um novo cliente eu apenas crio outro certificado. É simples e tenho certeza que você pode fazer a mesma coisa mesmo com easyRSA entregue com o openVPN.
Também é mais universal, porque você pode facilmente gerenciar certificados para outros serviços, como o apache, etc.
Use a opção duplicate-cn e uma chave para todos os clientes ou use o easy-rsa para criar user certificação .
Você também pode vincular o CN (que hospeda o nome de login do usuário) do certificado de usuário a um login que você pode administrar, por exemplo, com o FreeRADIUS. Eu escrevi um pequeno script de integração há alguns anos. Desta forma, você pode simplesmente bloquear o acesso do usuário removendo-os da lista de usuários do FreeRADIUS. A idéia é que o certificado proteja a VPN de qualquer outra pessoa, e o login do FreeRADIUS do próprio usuário (caso o login do usuário precise ser revogado). Você pode encontrar o script e detalhes adicionais aqui .