openvpn 服务吊销客户端证书操作步骤

admin

吊销客户端证书​

当我们创建了多个用户使用，然后某些原因，个别用户需要禁用的时候，我们就可以使用吊销证书的方式来处理。

首先在你的OpenVPN服务器上0

先备份文件：
! a5 u4 I# W2 \, r2 E& ycp /data/openvpn/easy-rsa-server/pki/crl.pem{,.bak}  我们这里不用使用备份。
" m# y3 M- N" [$ }% G7 {+ p4 H2 t) D  
然后再执行下面的操作：

& b/ c/ J/ [* j' K  Q2 e

./easyrsa revoke <client>  # 要吊销的客户端名

- I" G- Q1 u9 |! ]) o9 ^  f示例：
! c% l  b& ^8 g9 Y  W7 u0 S[root@vpnserver easy-rsa-server]# ./easyrsa revoke longrui

# Q% S1 A8 b7 p  `7 k1 F" BNote: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017

+ i5 i  ~, e# Y& V  d( CEasy-RSA error:
* U/ Y/ I! }, |. e# E, {0 w3 I
7 b: c. N! f& m$ dUnable to revoke as the input file is not a valid certificate. Unexpected
$ v+ ~* L, [; D% ~# ]) l# Pinput in file: /data/openvpn/easy-rsa-server/pki/issued/longrui.crt
( n4 }2 B: [/ d$ W4 n8 `- _$ x
( c3 p; s9 W, u( k; c! O& R2 M" X8 b./easyrsa gen-crl    # 生成crl.pem文件，用来记录吊销的证书
9 [# [# [/ Y7 N8 C6 O' V  X) O0 N示例：
[root@vpnserver easy-rsa-server]# ./easyrsa gen-crl

; Y' F2 Z2 ~$ I0 M: P5 jNote: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
2 V9 U8 L: G5 G% N5 c& FUsing configuration from /data/openvpn/easy-rsa-server/pki/easy-rsa-5235.iIUYZT/tmp.kofT2G
/ W9 k! N9 d2 C
$ I$ t% Q; F  \An updated CRL has been created.
: m9 _0 ^% U% {6 c: o% kCRL file: /data/openvpn/easy-rsa-server/pki/crl.pem

接下来操作：
cat /data/openvpn/easy-rsa-server/pki/crl.pem >> /data/openvpn/easy-rsa-server/pki/crl.pem.bak
编辑server.conf文件，插入一行：
6 C; \- c/ J, ?+ u
###告知服务端有哪些证书是被吊销的
& N9 \6 O/ V, b  ucrl-verify /data/openvpn/easy-rsa-server/pki/crl.pem.bak

: o; L; p4 b6 m
8 d9 `' e6 L9 R # 用来告知服务端有哪些证书是被吊销的

( [7 @' K% I0 R9 z& s1 p  O7 w# k7 \重启下vpn服务
7 ]. i" S9 \# Y3 D, c* Q  r" T+ U