马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
吊销客户端证书当我们创建了多个用户使用,然后某些原因,个别用户需要禁用的时候,我们就可以使用吊销证书的方式来处理。 首先在你的OpenVPN服务器上0 ' K0 f8 D7 @; Q2 {3 i0 m1 ]
先备份文件:
& \7 p: O4 ]( C7 Fcp /data/openvpn/easy-rsa-server/pki/crl.pem{,.bak} 我们这里不用使用备份。
; _1 j2 Z! F& X \, ~
" o# H4 u; F3 m4 R% u9 b% x3 i0 }) q$ y然后再执行下面的操作:" K/ ~8 ~9 y! ]$ \# S w
8 S0 X; i; @. ?& ~) k% Z/ Y
./easyrsa revoke <client> # 要吊销的客户端名
( M" m4 c1 F, i- B& e5 f( z2 `示例:! I' n" u+ _7 V. f5 ~
[root@vpnserver easy-rsa-server]# ./easyrsa revoke longrui
! E& Z9 F; |& M9 @( {6 ~$ A% K5 G# {/ v' m [* S
Note: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
* z$ y2 v/ x3 y( hUsing SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 20179 _9 B! m, `! `) y _# i
( u0 }9 Q' Z7 G! C
Easy-RSA error:
8 N3 Z6 ~& N0 T0 T0 O8 E0 f f! W! `- O7 a! d
Unable to revoke as the input file is not a valid certificate. Unexpected: p# V! j" q: t
input in file: /data/openvpn/easy-rsa-server/pki/issued/longrui.crt" G$ ` v2 s9 u4 s6 b0 k7 V2 {) Y
9 G: f& E8 t+ _! ?! S# I. F
./easyrsa gen-crl # 生成crl.pem文件,用来记录吊销的证书
4 V) k( o6 O3 {+ ?; t示例:2 [9 f$ ^7 U, [5 p4 }/ l
[root@vpnserver easy-rsa-server]# ./easyrsa gen-crl. f2 W4 s$ h$ m" P6 _3 H2 Q8 k
3 S4 A) x) H# \, TNote: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
' S* S* C+ W- y4 c" N7 }Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
7 k0 e0 d3 f" |/ @, l& C) [# p1 SUsing configuration from /data/openvpn/easy-rsa-server/pki/easy-rsa-5235.iIUYZT/tmp.kofT2G8 R1 [/ K x6 h+ s. s, s
1 {8 q, e- B6 o" D) s& X' T+ y
An updated CRL has been created.1 k, J# i1 }% j* x$ |, ]; H
CRL file: /data/openvpn/easy-rsa-server/pki/crl.pem
2 M3 I: G8 u# V i/ P( @: @, g, `. k1 w u& y9 x( X/ d; ?# ?
接下来操作:1 h9 f1 Q. w0 e- s2 ^2 `
cat /data/openvpn/easy-rsa-server/pki/crl.pem >> /data/openvpn/easy-rsa-server/pki/crl.pem.bak) j! T; F! Q$ W- q) U; s7 b
编辑server.conf文件,插入一行:' B* q; W" q* T
/ ^3 N1 U7 M- _+ ~- H. V
###告知服务端有哪些证书是被吊销的
$ {3 h7 @. ^: ~) tcrl-verify /data/openvpn/easy-rsa-server/pki/crl.pem.bak
- y7 }2 S% F) h' s2 z$ T
3 k- U- S+ p% L. ?+ B- C9 S( Y% `+ j% {' B: ?2 g" R: J' K
# 用来告知服务端有哪些证书是被吊销的
% Q) V" ?- G6 {0 ^* r7 g8 R" L2 Y. j" P+ J1 t( G
重启下vpn服务
/ ?% N; j: T5 V
$ H" S" O9 I# Z+ V3 L3 \8 a* l7 F9 o8 ^& f5 }
/ `1 F1 \! u! J
5 ~- `4 x& W6 {6 O- o. e. F# Q | 
/4 
|返回首页|Archiver|小黑屋|易陆发现技术论坛
( 蜀ICP备2026014127号-1 )
窥视卡
雷达卡
发表于 2025-6-8 10:12:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜