strongswan 특정 클라이언트의 액서스 취소

간략한 설명

여러개의 클라이언트 인증서를 생성하고 인증서 기반으로 vpn을 구동중 특정 클라이언트의 액서스 권한을 취소하고 싶은 경우 인증서 취소 목록(CRL:Certificate Revocation List)을 생성하여 해당 클라이언트 인증서를 차단할 수 있습니다.

인증서를 해지하는 이유

  • key-compromise : client 인증키 손상
  • ca-compromise : CA 인증키 손상
  • affiliation-changed : CA 명칭 또는 기타 정보의 변경
  • superseded : 인증서를 대체하는 경우
  • cessation-of-operation : 인증서를 더이상 지정된 목적으로 사용하지 않음
  • certificateHold : 임시적 효력중지

strongswan revoke키 생성 예시

ssh 로 접속하여 revoke키를 생성합니다.

cd /etc/ipsec.d

ipsec pki --signcrl --cacert cacerts/cacrt.der --cakey private/cakey.der --reason superseded --cert certs/[email protected] > crls/[email protected]

revoke키가 생성된 이후에는 차단된 client1는 vpn에 접속할 수 없게 됩니다.

참고사이트

Comments

No comments yet. Why don’t you start the discussion?

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다

  ⁄  2  =  2