Eu quero limitar o usuário especificando um diretório, e agora a situação é que o openvpn é bem-sucedido, mas limitar o usuário não está funcionando. insira a descrição da imagem aqui
insira a descrição da imagem aqui Os documentos oficiais são os seguintes:
Verifique o certificado de mesmo nível no arquivo crl no formato PEM. Uma CRL (lista de certificados revogados) é usada quando uma determinada chave é comprometida, mas quando a PKI geral ainda está intacta.
Suponha que você tenha uma PKI consistindo em uma CA, certificado raiz e vários certificados de cliente. Suponha que um computador laptop contendo uma chave de cliente e um certificado tenha sido roubado. Ao adicionar o certificado roubado ao arquivo CRL, você pode rejeitar qualquer conexão que tente usá-lo, preservando a integridade geral da PKI.
A única ocasião em que seria necessário reconstruir toda a PKI desde o início seria se a própria chave do certificado raiz estivesse comprometida.
Se o sinalizador opcional dir for especificado, ative um modo diferente em que crl seja um diretório contendo arquivos nomeados como números de série revogados (os arquivos podem estar vazios, o conteúdo nunca é lido). Se um cliente solicitar uma conexão, em que o número de série do certificado do cliente (string decimal) é o nome de um arquivo presente no diretório, ele será rejeitado.
Nota: Como o arquivo crl (ou diretório) é lido toda vez que um par se conecta, se você estiver descartando privilégios de root com --user, certifique-se de que este usuário tenha privilégios suficientes para ler o arquivo.
Considerações de segurança
- crl-verify não verifica se a CRL está corretamente assinada pela CA. Apenas verifica se os emissores de LCR correspondem ao CA CN. Portanto, os usuários devem garantir que a CRL fornecida esteja correta.
O OpenVPN 2.4 e mais recente resolvem esse problema.
