OpenVPN: Revogar certificado » Simplificando Redes

Esse tutorial demonstra de forma prática como revogar um certificado de um usuário no servidor OpenVPN.

É muito comum, quando estamos lidando com VPNs empresariais, a saída de funcionários da empresa e que por consequência não deveriam mais ter acesso a VPN. Além disso, um usuário pode ter esquecido sua senha ou mesmo ter a private key exposta.

Portanto, torna-se uma necessidade básica no dia a dia de uma empresa saber como revogar um certificado de forma correta e precisa.

Nesse tutorial, estamos usando um servidor OpenVPN que está instalado em uma máquina Linux. Além disso, como prova de conceito, vamos usar um cliente OpenVPN com um usuário Alice.

Além disso, estamos usando o mesmo cenário que usamos no artigo:

Instalar Open VPN em Linux

Tabela de conteúdos

Revogando o certificado no OpenVPN
Gerando o CRL (certificate revocation list)
Copiando o arquivo de CRL (certificate revocation list)
Editando o arquivo de configuração do OpenVPN
Reiniciando o servidor OpenVPN
Testando o certificado OpenVPN revogado
Minha opinião sobre VPNs e automatização
Veja mais:

Revogando o certificado no OpenVPN

O primeiro passo para revogar um certificado é entrar no diretório que contém o arquivo easyrsa. Em nossa instalação prévia do OpenVPN Server, o arquivo easyrsa está no diretório easy-rsa. Portanto, para acessá-lo vamos usar o comando abaixo.

cd ~/easy-rsa/

Depois disso, vamos usar o comando easyrsa revoke para revogar o certificado do usuário Alice. Para isso vamos usar o comando abaixo.

./easyrsa revoke Alice

O sistema vai perguntar se deseja continuar e vamos digitar yes e depois pressionar ENTER.

Gerando o CRL (certificate revocation list)

Agora vamos gerar um CRL (certificate revocation list) para que a revogação do certificado da Alice tenha efeito. Ao usar o comando “./easyrsa gen-crl“ será criado um arquivo de lista de revogação de certificado chamado “crl.pem”.

./easyrsa gen-crl

Podemos ver que o arquivo crl.pem foi criado dentro do diretório “~/easy-rsa/pki/”. Se desejarmos verificar, podemos usar o comando abaixo para entrar no diretório e depois usar o comando “ls” para listar o conteúdo do diretório.

Dessa forma, vamos ver que agora temos o arquivo de lista de revogação de certificado chamado “crl.pem”.

cd ~/easy-rsa/pki/

ls

Copiando o arquivo de CRL (certificate revocation list)

Agora vamos copiar o arquivo CRL ( lista de certificado de revogação) “crl.pem” para o diretório de configuração do openvpn. Para isso, vamos usar o comando abaixo.

sudo cp crl.pem /etc/openvpn/server/

Editando o arquivo de configuração do OpenVPN

Agora, vamos editar o arquivo de configuração do servidor OpenVPN para identificar o arquivo de CRL (certificate revocation list). Para isso, vamos usar o comando abaixo para editar o arquivo “/etc/openvpn/server/server.conf” usando o editor de textos nano.

sudo nano /etc/openvpn/server/server.conf

Ao final do arquivo “server.conf”, vamos inserir uma linha que indica a verificação do CRL (certificate revocation list). Portanto, devemos copia a instrução abaixo e colar no final do arquivo de configuração “server.conf”.

crl-verify crl.pem

Reiniciando o servidor OpenVPN

Agora vamos reiniciar o servidor OpenVPN para que as alterações tenham efeito.

Para isso, vamos usar o comando abaixo.

sudo systemctl restart [email protected]

Testando o certificado OpenVPN revogado

Agora vamos testar se o usuário ainda consegue usar o certificado revogado do OpenVPN. Para isso, vamos na máquina cliente e vamos tentar conectar na VPN com o usuário Alice.

Em nosso caso, como estamos usando uma máquina Linux como cliente, usaremos o comando abaixo para fazer a conexão do usuário na VPN.

sudo openvpn --config Alice.ovpn

Podemos observar que o usuário Alice não conseguiu conectar na VPN e além disso, apareceram erros de “TLS key negotiation failed to occur” e também “TLS handshake failed”. Consequentemente, podemos verificar que depois de revogar o certificado do usuário Alice, esse usuário não consegue mais entrar na VPN.

Veja mais:

Minha opinião sobre VPNs e automatização

Gosto muito de automatizar o processo de revogação de certificado. Isso porque no dia a dia devemos sempre tentar simplificar a vida dos responsáveis por inserir novos usuários na VPN e removê-los.

Certa vez, me lembro de estar em uma empresa de computação que produzia softwares para dispositivos integrados em TVs. Em uma tarde de sexta feira, fomos informados que haveria uma fusão da empresa com outra empresa que até o momento era concorrente.

Nossa equipe, ficou encarregada de realizar a migração da base de usuários de modo que na segunda feira os impactos no trabalho fossem reduzidos. Nesse caso, tínhamos um desafio que era como atualizar os acessos dos usuários da empresa original e também adicionar usuários da empresa que estava se fundindo com a nossa.

Inicialmente, tentamos realizar o procedimento de revogar certificados e criar usuários no OpenVPN de forma manual. No entanto, percebemos rapidamente que esse processo poderia levar mais tempo do que nos era delimitado. Foi então que um colega deu a ideia de criar shell script para revogar todos os certificados de VPN que precisavam ser atualizados e dentro do mesmo script criar novos certificados para a grande lista de funcionários que nos haviam entregado.

Então, resolvemos seguir a ideia de nosso colega e passamos um tempo criando o script e validando. E para nossa surpresa, o script ficou pronto mais rápido do que o esperado e pudemos adicionar usuários a VPN e revogar certificados de forma ágil e reduzindo a probabilidade de erro humano. Dessa forma, um trabalho que era para ser entregue em 3 dias foi feito em apenas uma manhã de sábado.

Esse foi somente um episódio de minha vida trabalhando com tecnologia da informação, espero que ajude.

Juliana Mascarenhas

Data Scientist and Master in Computer Modeling by LNCC.
Computer Engineer

Como fazer X11 Forwarding com SSH

20 de março de 2024 Nenhum comentário

Vamos mostrar como fazer o X11 Forwarding com SSH utilizando duas máquinas com Linux.

Ler mais

Mesclando arquivos PDFs: REGEX e PyPDF2 com Python

19 de fevereiro de 2024 Nenhum comentário

Imagine que tenha vários de arquivos em pdf para mesclar e manter tudo em apenas…

Ler mais

Instalar Ubuntu Server VirtualBox

16 de fevereiro de 2024 Nenhum comentário

Vamos demonstrar como instalar o Ubuntu server no VirtualBox. Virtualizar o Ubuntu server pode ser…

Ler mais

Criando CRUD MySQL com Python

7 de fevereiro de 2024 Nenhum comentário

Como podemos manipular os dados utilizando as operações CRUD MySQL com python? Agora, iremos criar…

Ler mais

Instalar Ubuntu VirtualBox

6 de fevereiro de 2024 Nenhum comentário

Vamos ensinar como instalar o Ubuntu no VirtualBox. Para isso, vamos realizar uma instalação simples…

Ler mais

Instalar servidor SSH Windows

22 de dezembro de 2023 Nenhum comentário

Esse é um tutorial que ensina como instalar e configurar um servidor SSH em uma…

Ler mais

Mais sobre OpenVPN

https://community.openvpn.net/openvpn

Cookie	Duração	Descrição
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category . / Definido pelo plugin GDPR Cookie Consent, este cookie é usado para registrar o consentimento do usuário para os cookies na categoria Publicidade = "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". / O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria"Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". / Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Other.".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. / O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Cookie	Duração	Descrição
_tccl_visit	30 minutes	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.
_tccl_visitor	1 year	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.

Cookie	Duração	Descrição
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites. / O cookie __gads, definido pelo Google, é armazenado no domínio da DoubleClick e rastreia o número de vezes que os usuários veem um anúncio, mede o sucesso da campanha e calcula sua receita. Este cookie só pode ser lido no domínio em que está configurado e não rastreará nenhum dado durante a navegação em outros sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors. / O cookie _ga, instalado pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também acompanha o uso do site para o relatório de análise do site. O cookie armazena informações anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_ga_4S4FKY1F7W	2 years	This cookie is installed by Google Analytics.
_ga_8V3HHZY0KL	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_199766752_1	1 minute	Set by Google to distinguish users. / Definido pelo Google para distinguir os usuários.
_gh_sess	session	GitHub sets this cookie for temporary application and framework state between pages like what step the user is on in a multiple step form.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously. / Instalado pelo Google Analytics, o _gid cookie armazena informações sobre como os visitantes usam um site, ao mesmo tempo que cria um relatório analítico do desempenho do site. Alguns dos dados coletados incluem o número de visitantes, sua fonte e as páginas que visitam anonimamente.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Duração	Descrição
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies. / O test_cookie é definido por doubleclick.net e é usado para determinar se o navegador do usuário oferece suporte a cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duração	Descrição
_octo	1 year	No description available.
DEVICE_INFO	5 months 27 days	No description
FCCDCF	12 hours	No description available.
GoogleAdServingTest	session	No description / Sem descrição
logged_in	1 year	No description available.

Revogando o certificado no OpenVPN

Gerando o CRL (certificate revocation list)

Copiando o arquivo de CRL (certificate revocation list)

Editando o arquivo de configuração do OpenVPN

Reiniciando o servidor OpenVPN

Testando o certificado OpenVPN revogado

Veja mais:

Minha opinião sobre VPNs e automatização

Mais sobre OpenVPN

Posts relacionados