간략한 설명
여러개의 클라이언트 인증서를 생성하고 인증서 기반으로 vpn을 구동중 특정 클라이언트의 액서스 권한을 취소하고 싶은 경우 인증서 취소 목록(CRL:Certificate Revocation List)을 생성하여 해당 클라이언트 인증서를 차단할 수 있습니다.
인증서를 해지하는 이유
- key-compromise : client 인증키 손상
- ca-compromise : CA 인증키 손상
- affiliation-changed : CA 명칭 또는 기타 정보의 변경
- superseded : 인증서를 대체하는 경우
- cessation-of-operation : 인증서를 더이상 지정된 목적으로 사용하지 않음
- certificateHold : 임시적 효력중지
strongswan revoke키 생성 예시
ssh 로 접속하여 revoke키를 생성합니다.
cd /etc/ipsec.d
ipsec pki --signcrl --cacert cacerts/cacrt.der --cakey private/cakey.der --reason superseded --cert certs/[email protected] > crls/[email protected]
revoke키가 생성된 이후에는 차단된 client1는 vpn에 접속할 수 없게 됩니다.