浏览此站
联系我们相册切换到窄版 Language

 找回密码
 注册
易陆发现论坛»论坛 操作系统区 非桌面系统 Redhat/Centos Linux系统 openvpn 服务吊销客户端证书操作步骤
返回列表 发新帖
查看: 631|回复: 0

openvpn 服务吊销客户端证书操作步骤

[复制链接]
admin

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
发表于 2025-6-8 10:12:18 | 显示全部楼层 |阅读模式
吊销客户端证书
当我们创建了多个用户使用,然后某些原因,个别用户需要禁用的时候,我们就可以使用吊销证书的方式来处理。
首先在你的OpenVPN服务器上0

4 ?" Y7 I' F; i$ E% l' c
先备份文件:6 f% Q) ?* ^- n) s0 y
cp /data/openvpn/easy-rsa-server/pki/crl.pem{,.bak}  我们这里不用使用备份。
6 N' a; J( T2 z* S) f/ k4 P1 ]  ' ?" _% }3 t# h# I5 A% Y  `, Q
然后再执行下面的操作:' o: H8 n/ g. i/ E7 Z8 m; x: M
4 H$ k1 j. p  b: Y
./easyrsa revoke <client>  # 要吊销的客户端名

4 r, _7 P; J4 g; I6 d+ y8 z0 F  D示例:
; J# n/ j# b/ w: R" h[root@vpnserver easy-rsa-server]# ./easyrsa revoke longrui7 F* P- r. w! k; U+ }5 \

% j1 b7 R# W5 A7 ENote: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
. m9 ?. e9 j1 C& w- x+ VUsing SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017$ y  x% e7 G1 `! Z+ a/ V9 F, I
; p' M( J' Y: W4 o
Easy-RSA error:
6 \+ P# @/ R7 q$ q3 A. K
7 Z$ x+ `+ N8 t1 ]1 aUnable to revoke as the input file is not a valid certificate. Unexpected  \8 l' z9 U9 H, q9 ?
input in file: /data/openvpn/easy-rsa-server/pki/issued/longrui.crt" x9 H" F9 T8 @1 A
8 I5 `) F- T, m' t5 O$ {5 R0 |. j
./easyrsa gen-crl    # 生成crl.pem文件,用来记录吊销的证书& n6 g6 c; z& p9 T1 ^; D- _
示例:
. s; R+ E1 g* O7 @" Q2 i$ r& g[root@vpnserver easy-rsa-server]# ./easyrsa gen-crl( K9 Q4 v; `; f" `

% d+ O: n6 a5 F: k2 V& pNote: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars4 Q9 i" V2 ]' S/ T* D6 K* [) [0 j
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
7 g/ W! a8 t3 S: S1 E' SUsing configuration from /data/openvpn/easy-rsa-server/pki/easy-rsa-5235.iIUYZT/tmp.kofT2G* T/ x$ N8 H4 e9 A! c* z# c/ j( P
$ X) S9 R$ l0 R& `3 w
An updated CRL has been created.. F% C# \2 c6 L
CRL file: /data/openvpn/easy-rsa-server/pki/crl.pem% y" |, c( H; p0 Z1 i- M' m( y0 r3 P

/ u( r3 X! i$ r# r5 O接下来操作:2 u2 r$ E% C9 Y# A) ]6 k/ `
cat /data/openvpn/easy-rsa-server/pki/crl.pem >> /data/openvpn/easy-rsa-server/pki/crl.pem.bak$ v. q! o$ R9 T" Q1 |
编辑server.conf文件,插入一行:, @) d! y1 J% t
# N7 G) r, D' `3 c8 m  `
###告知服务端有哪些证书是被吊销的" d5 W. w/ T& R! u5 x3 X
crl-verify /data/openvpn/easy-rsa-server/pki/crl.pem.bak
' t- I% W9 s! r1 u' l# h* A+ C4 v# w2 k+ v; F9 e  B

3 q4 s5 Q; d/ L4 V # 用来告知服务端有哪些证书是被吊销的# @! n' i% J' Y9 \5 i+ h; @9 {
9 Q7 j2 e  E6 P6 G  v
重启下vpn服务' i5 b& ?: F% h. _- y4 [

- K, r" U) o' x: u( x5 ^) I2 I: p% \( ?
$ a- P1 I& O9 _- y! a) k* {, m

  [# K# @2 l( k) p: u+ i( o
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

返回首页|Archiver|手机版|小黑屋|易陆发现技术论坛 ( 蜀ICP备2026014127号-1 )

GMT+8, 2026-6-12 00:41 , Processed in 0.021350 second(s), 22 queries .

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表