我需要知道如何查看 OpenVPN 中的现有证书,我收到的内部文档(由前雇主编写)包含创建、删除、检索和撤销用户,请参阅下文
/etc/openvpn/getclient.sh
/etc/openvpn/revokeclient.sh
rm /etc/openvpn/easy-rsa/3.0.6/pki/private/.key
rm /etc/openvpn/easy-rsa/3.0.6/pki/reqs/.req
rm /etc/openvpn/easy-rsa/3.0.6/pki/issued/.crt
现有证书的记录从未被维护过,因此怀疑现在可以删除大量证书。
如果有人能给我指明正确的方向,我将非常感激。
答案1
你不可能知道。
证书签由证书颁发机构 (CA) 提供,但应该不是证书所有者以外的任何人都可以存储该证书。此外,CA 甚至不必是您的;如果您愿意,您可以信任外部 CA。
证书颁发完全是离线的,并且没有证书的中央存储库 - 安全性源于无法伪造签名,因此不需要中央存储库 - 这也提供了灵活性。
此外,你不能删除证书。您可以撤销它们,将它们标记为无效。但由于它们可以存储在其他系统上,因此您无法删除它们。
由于您实际上不知道已颁发了哪些证书,未颁发哪些证书,因此我将从此时开始重新颁发证书。我建议您使用某种目录(例如 FreeIPA 或 Active Directory)来跟踪并自动颁发和轮换证书。
答案2
ls -ltr /etc/openvpn/clients/
对于客户端证书
如果你想查看内容,也可以将它们全部 cat
cat /etc/openvpn/clients/*.crt
对于服务器证书
cat /etc/openvpn/server.crt
或者使用 openssl
对于客户端证书
openssl x509 -in /etc/openvpn/clients/*.crt -text
对于服务器证书
openssl x509 -in /etc/openvpn/server.crt -text