OpenVPNで発行したクライアント証明書などの失効方法について
1,834 views
Skip to first unread message
長岡和宏
Jan 13, 2016, 1:08:20 AM1/13/16
to OpenVPN Japan Users Group
AWS上でOpenVPNサーバを構築しました。
今後クライアント証明書を管理していく上で、
管理者側から失効させる方法を検討しています。
ステータスをRevokeにするには、「./easyrsa revoke」で実現することはできますが、
.reqファイルや.keyファイル、.crtファイルは残存したままとなっています。
これらのファイルは削除しておいた方がいいのでしょうか?
山崎 太郎
Jan 13, 2016, 1:17:32 AM1/13/16
to openvpn-japa...@googlegroups.com
こんにちは、やまざきです。
証明書の失効の判断は crl-verify ディレクティブで指定した証明書失効リスト
ファイル(通常はcrl.pem)のみで行われますので、失効した鍵ファイルや証明書
ファイルなどの削除は必ずしも必須ではありません。
ただ、混乱を避けるために不要なファイルは削除することが多いと思います。
--
::: Your Security Solution Provider.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
山崎 太郎 <YAMAZAKI Taro> ● ITSD部ディレクタ 兼 CIO
[e-Mail] ta...@plum-systems.co.jp
[LinkedIn] http://www.linkedin.com/in/yamata
プラムシステムズ株式会社
〒215-0031 神奈川県川崎市麻生区栗平2-3-11 ベルヴィル 2F
URL:http://www.plum-systems.co.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録
> しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com にメールを送信し
> てください。
> その他のオプションについては https://groups.google.com/d/optout にアクセ
> スしてください。
長岡和宏
Jan 15, 2016, 2:50:59 AM1/15/16
to OpenVPN Japan Users Group
山崎様
2016年1月13日水曜日 15時17分32秒 UTC+9 山崎 太郎:
ご回答ありがとうございました。
ちなみに、クライアント証明書を失効させた後、
crl.pemを最新化させるために、何かコマンド実行が必要となるでしょうか?
または、「./easyrsa revoke」のコマンドだけで十分でしょうか?
2016年1月13日水曜日 15時17分32秒 UTC+9 山崎 太郎:
山崎 太郎
Jan 15, 2016, 3:29:54 AM1/15/16
to openvpn-japa...@googlegroups.com
長岡さま
http://www.openvpn.jp/document/how-to/#Revoking にもありますように、CRL
の更新(失効処理後)後は何かの操作をしなくても「新規クライアントの接続
時」または「既存のSSL/TLS接続の再ネゴシエーション時(デフォルトでは1
時間おき)」に読み込まれます。
現在接続中のユーザーを即時に失効/切断させたい場合のみ、OpenVPNサーバー
インスタンスを再起動するか、管理インターフェイスから対象クライアントを
強制的に切断する必要があります。
既にご覧いただいているかもしれませんが、失効に関しては以前もこのグループで
話題になっていますので、参考になさってください。
https://groups.google.com/forum/?hl=ja&fromgroups#!topic/openvpn-japan-users-group/uOB8evnZRXo
> [LinkedIn] http://www.linkedin.com/in/yamata
> <javascript:> にメールを送信し
> > てください。
> > その他のオプションについては
> https://groups.google.com/d/optout <https://groups.google.com/d/optout>
> にアクセ
> > スしてください。
>
>
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録
> しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
> openvpn-japan-user...@googlegroups.com にメールを送信し
>
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録
> しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
長岡和宏
Jan 15, 2016, 4:13:15 AM1/15/16
to OpenVPN Japan Users Group
山崎さま
ご回答ありがとうございます。
過去の情報も確認させていただきました。
こちらで失効の手続きについて、まとめてみたいと思います。
どうも、ありがとうございました。
2016年1月15日金曜日 17時29分54秒 UTC+9 山崎 太郎:
2016年1月15日金曜日 17時29分54秒 UTC+9 山崎 太郎:
> <javascript:> にメールを送信し
> > てください。
> > その他のオプションについては
> https://groups.google.com/d/optout <https://groups.google.com/d/optout>
> にアクセ
> > スしてください。
>
>
>
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録
> しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
Reply all
Reply to author
Forward
0 new messages