Ich habe ein OpenVPN-Setup auf Ubuntu, mit dem mehrere Benutzer eine Verbindung herstellen. Ich möchte alle aktiven Zertifikate mit ihrem allgemeinen Namen auflisten. Ist das ein Weg, dies zu tun?
Welche Zertifikate sind für Sie "aktiv"? Diejenigen, die zum ("aktuellen") Ausführen von Tunneln verwendet werden, oder alle möglichen Zertifikate, die Tunnel initiieren können? Für das erste - schreiben Sie ein kleines Verbindungsskript, das alle CNs speichert (und entfernen Sie sie beim Trennen) - für das letztere: Fragen Sie Ihre PKI.
Michuelnik
Abgesehen davon empfehle ich dringend, pfSense für neue Openvpn-Serverbereitstellungen zu verwenden, damit Sie die fantastische Zertifikatverwaltung über die Web-Benutzeroberfläche nutzen können. pfSense hat auch im Allgemeinen einen langen Weg zurückgelegt und macht einige Dinge, deren Konfiguration in PF buchstäblich Wochen dauern kann, in Minuten machbar. (zum Beispiel Load Balanced Outbound Multiwan). Schauen Sie sich diesen Vortrag an, wenn Sie an pfSense interessiert sind: youtube.com/watch?v=ckesvwkNiJE
iainlbc
Antworten:
9
Wenn Sie easy-rsa verwenden, überprüfen Sie die index.txtDatei im keysOrdner. Es sollte eine Liste aller ausgestellten Zertifikate und ihrer Fächer (einschließlich CN) enthalten. Gültige Zertifikate beginnen mit einem Vund widerrufene Zertifikate beginnen mit einem R.
Die aktuellen Verbindungen werden in der Statusdatei (in meinem Fall openvpn-status.logim openvpnOrdner) aufgelistet .
Die Datei index.txt enthält keine Liste der ausgestellten Zertifikate. Vielleicht haben Sie es so konfiguriert, dass dies möglich ist. Wenn ja, geben Sie bitte die Konfiguration an.
Lobi
@lobi Nun, ich habe mich umgesehen und einige openssl - *. cnf-Dateien gefunden, die database = $dir/index.txtim [ CA_default ]Abschnitt enthalten sind. Ich vermute, dort ist es angegeben. Es war so, dass ich standardmäßig nichts außer der "vars" -Datei geändert habe.
Aditsu
1
Die index.txtDatei scheint eine Karte des Zertifikats (NN.pem) zusammen mit dem SubjectName und dem Status Vfür gültig oder Rwiderrufen sowie das Datum des Widerrufs (gültig ohne Datum) zu enthalten.
Wenn Sie wissen möchten, wer eine Verbindung zum OpenVPN-Server herstellen kann, ist dies etwas schwieriger. OpenVPN lässt jeden, in dessen Zertifikat eine Signatur enthält, die mit dem CA-Schlüssel generiert wurde, für den der Server konfiguriert ist. Wenn Sie eine PKI-Infrastruktur eines Drittanbieters verwenden, sollten diese über Aufzeichnungen der von ihnen ausgestellten Zertifikate verfügen. Wenn Sie das easy-rsa-Zeug verwenden, sollten sich alle Zertifikate in diesem Verzeichnis befinden.
Antworten:
Wenn Sie easy-rsa verwenden, überprüfen Sie die
index.txtDatei imkeysOrdner. Es sollte eine Liste aller ausgestellten Zertifikate und ihrer Fächer (einschließlich CN) enthalten. Gültige Zertifikate beginnen mit einemVund widerrufene Zertifikate beginnen mit einemR.Die aktuellen Verbindungen werden in der Statusdatei (in meinem Fall
openvpn-status.logimopenvpnOrdner) aufgelistet .quelle
database = $dir/index.txtim[ CA_default ]Abschnitt enthalten sind. Ich vermute, dort ist es angegeben. Es war so, dass ich standardmäßig nichts außer der "vars" -Datei geändert habe.index.txtDatei scheint eine Karte des Zertifikats (NN.pem) zusammen mit dem SubjectName und dem StatusVfür gültig oderRwiderrufen sowie das Datum des Widerrufs (gültig ohne Datum) zu enthalten.Sie können eine Liste der aktuellen Verbindungen zum OpenVPN-Server abrufen, indem Sie den Befehl status über die Verwaltungsoberfläche verwenden (siehe http://openvpn.net/index.php/open-source/documentation/miscellaneous/79-management-interface). html ) oder indem Sie sich die Statusdatei ansehen, die über die Statuszeile in den Konfigurationsdateien angegeben wird (siehe http://openvpn.net/index.php/open-source/documentation/howto.html#server ).
Wenn Sie wissen möchten, wer eine Verbindung zum OpenVPN-Server herstellen kann, ist dies etwas schwieriger. OpenVPN lässt jeden, in dessen Zertifikat eine Signatur enthält, die mit dem CA-Schlüssel generiert wurde, für den der Server konfiguriert ist. Wenn Sie eine PKI-Infrastruktur eines Drittanbieters verwenden, sollten diese über Aufzeichnungen der von ihnen ausgestellten Zertifikate verfügen. Wenn Sie das easy-rsa-Zeug verwenden, sollten sich alle Zertifikate in diesem Verzeichnis befinden.
quelle
Sie können das einfach so machen:
Zeilen in
index.txtbeginnt mit,Vwenn das Zertifikat gültig ist.Das Ergebnis sollte folgendermaßen aussehen:
quelle