我刚刚设法在我的服务器上正确安装OpenVPN,并testing它与客户端计算机正常工作,我开始怀疑OpenVPN密钥如何随着客户端的出入而产生。
是否需要重builddiffie helman .dh文件并重新创build所有以前的客户端密钥,因为我只需要添加或删除客户端?
谢谢
正如Ency所说,只要您创build了自己的CA,只需为新用户创build另一个密钥即可。 在再次input之前,当您设置openVPN时,您确实按照build议创build了自己的CA,不是吗?
编辑:好的,然后
cd easy-rsa source ./vars ./build-key newclient
我还有一些关于创buildCRL的注释,它允许您撤销旧的证书,并在crl中指向openVPN,但是我无法立即find它们。
我的解决scheme是:
我有我自己的证书颁发机构,随时需要新的客户端,我只是创build另一个证书。 这很简单,我很确定你可以做同样的事情,即使在easyRSA提供easyRSA。
这也是更普遍的,因为你可以轻松地pipe理其他服务,如Apache等证书。
对所有客户端使用duplicate-cn选项和一个密钥,或使用easy-rsa创build用户authentication 。
您还可以将用户证书的CN(用户login名称)绑定到您可以pipe理的login名,例如FreeRADIUS。 几年前我写了一个小的整合脚本。 这样,您可以简单地通过从FreeRADIUS用户列表中删除它们来阻止用户访问。 这个想法是,证书将保护VPN与其他人,并从用户本身的FreeRADIUSlogin(如果用户的login需要被撤销)。 你可以在这里find脚本和附加的细节。