我想通过指定目录来限制用户,现在的情况是openvpn成功了,但是限制用户不起作用。 在此处输入图片描述
在此处输入图片描述 官方文档如下:
对照 PEM 格式的 crl 文件检查对等证书。当特定密钥被泄露但整体 PKI 仍然完好无损时,使用 CRL(证书吊销列表)。
假设您有一个由 CA、根证书和多个客户端证书组成的 PKI。假设一台装有客户端密钥和证书的笔记本电脑被盗。通过将被盗证书添加到 CRL 文件中,您可以拒绝任何试图使用该证书的连接,同时保持 PKI 的整体完整性。
唯一需要从头开始重建整个 PKI 的情况是根证书密钥本身被泄露。
如果指定了可选的 dir 标志,则启用不同的模式,其中 crl 是包含以撤销序列号命名的文件的目录(文件可能为空,内容永远不会被读取)。如果客户端请求连接,其中客户端证书序列号(十进制字符串)是目录中存在的文件的名称,则将被拒绝。
注意:由于每次对等方连接时都会读取 crl 文件(或目录),如果您使用 --user 放弃 root 权限,请确保该用户具有足够的权限来读取该文件。
安全注意事项
--crl-verify 不会检查 CRL 是否由 CA 正确签名。它仅检查 CRL 颁发者是否与 CA CN 匹配。因此,用户应确保提供的 CRL 是正确的。
OpenVPN 2.4 及更新版本解决了这个问题。