3

当用户连接到我的 OpenVPN 服务器时,我想提取客户端证书的 ID。

目的是编写一个脚本,防止用户与他人共享他们的证书。现在任何证书都适用于任何有效的 LDAP 用户。

当我设置为变量script-security 3提供最多信息的接缝时env,我会在这篇文章的底部看到变量(实际值已删除)。据我所知,其中没有任何内容与用户使用的证书相关联。

问题

如何获取客户的证书/密钥 ID,以便将其与/etc/openvpn/easy-rsa/2.0/keys/*{.crt,.csr,.key}? 文件名是 LDAP 用户名。

例如

/etc/openvpn/easy-rsa/2.0/keys/bob.crt
/etc/openvpn/easy-rsa/2.0/keys/bob.csr
/etc/openvpn/easy-rsa/2.0/keys/bob.key

env变量转储

X509_1_OU=
common_name=
route_gateway_1=
ifconfig_remote=
untrusted_ip=
ifconfig_local=
proto_1=
tls_serial_1=
tls_serial_0=
tun_mtu=
X509_1_emailAddress=
tls_id_0=
X509_1_L=
tls_id_1=
X509_1_O=
password=
script_type=
verb=
username=
local_port_1=
config=
X509_0_CN=
dev=
auth_control_file=
X509_1_C=
X509_1_ST=
route_network_1=
remote_port_1=
PWD=
route_net_gateway=
daemon=
X509_1_name=
untrusted_port=
SHLVL=
script_context=
route_vpn_gateway=
route_netmask_1=
daemon_start_time=
X509_0_ST=
daemon_pid=
X509_1_CN=
X509_0_OU=
X509_0_emailAddress=
daemon_log_redirect=
X509_0_C=
X509_0_L=
link_mtu=
X509_0_O=
4

1 回答 1

1

crtkey. _ crt如果不生成新csr的并key再次签名,则无法更改。我不是专家权威,所以我不知道是哪个,但是应该有一些字段是客户端在不破坏证书验证的情况下无法更改的。查看wiki页面,在我看来,您无法更改主题属性(CN等)。

因此,如果您使用 验证用户bob,请bob.crt确保在证书中CN是 bob。匹配所有这三个应该意味着鲍勃正在使用他自己的证书登录。

于 2012-02-12T00:24:55.703 回答