Управление OpenVPN сертификатами в консоли
4. Для полноценной работы необходимы следующие файлы:
ca.crt ca.key client.crt client.csr client.key $HOSTNAME.ovpn
где client имя клиента из пункта генерации.(место нахождения /etc/openvpn/easy-rsa/2.0/;)
5. Сохраняем правила iptables:
iptables-save > rules.ipt
после ребута рестор правил:
iptables-restore < rules.ipt
6. Сгенерированные сертификаты для удобства скопируем в отдельную директорию каждому клиенту, пример:
CLIENT_NAME="client1" cp /etc/openvpn/easy-rsa/2.0/keys/ca.key /root/clients/$CLIENT_NAME cp /etc/openvpn/easy-rsa/2.0/keys/ca.crt /root/clients/$CLIENT_NAME cp /etc/openvpn/easy-rsa/2.0/keys/$CLIENT_NAME.crt /root/clients/$CLIENT_NAME cp /etc/openvpn/easy-rsa/2.0/keys/$CLIENT_NAME.key /root/clients/$CLIENT_NAME cp /etc/openvpn/easy-rsa/2.0/keys/serv.buxar-host.eu.ovpn /root/clients/$CLIENT_NAME sed -i "s/^cert.*$/cert $CLIENT_NAME.crt/" /root/clients/$CLIENT_NAME/serv.buxar-host.eu.ovpn sed -i "s/^key.*$/key $CLIENT_NAME.key/" /root/clients/$CLIENT_NAME/serv.buxar-host.eu.ovpn
,где serv.buxar-host.eu.ovpn конфиг файл вашего сервере ($HOSTNAME.ovpn)
7. Архивируем сертификаты и конфиг в архив:
Перед этим переходим в нужную директорию: cd /root/clients/
7.1. Если только нужно для одного клиента добавить в архив то по команде:
tar czf vpn_client1.tgz client1/
7.2. Если нужно сразу для всех клиентов сертификаты добавить каждый в отдельный архив то по команде:
for i in *; do tar czf vpn_$i.tgz $i; done
8. Скачиваем сертификаты себе на компьютер (Обязательно через другую консоль или из этой выйдете из сервер сначала, иначе не на комп к себе на сервер тот же закачаете):
scp root@IP_сервера:/root/clients/vpn_client1.tgz /home/user/Загрузки/VPN/
9. Пересылаем сертификат клиенту.
Отзыв сертификатов
Отозвать сертификат очень просто, выполняем:
CLIENT_NAME="client1" cd /etc/openvpn/easy-rsa/2.0/ source ./vars ./revoke-full $CLIENT_NAME rm -f /root/clients/$CLIENT_NAME/*
Генерация нового сертификата
После отзыва сертификата вам не нужно повторять полностью процедуру описанную в начале статьи по созданию клиента. Если вы хотите выдать новый сертификат с тем же IP адресом, вам достаточно выполнить эти действия:
cd /etc/openvpn/easy-rsa/2.0/ source ./vars ./build-key client1
Далее выполняем пункты 6-9 из выше описанной инструкции.
Автор: BuxarNET (Тяшкевич Виталий) для IntFAQ.ru, по инструкции от хостинг провайдера Buxar-Host.ru