浏览此站
联系我们相册切换到窄版 Language

 找回密码
 注册
易陆发现论坛»论坛 操作系统区 非桌面系统 Redhat/Centos Linux系统 openvpn 服务吊销客户端证书操作步骤
返回列表 发新帖
查看: 636|回复: 0

openvpn 服务吊销客户端证书操作步骤

[复制链接]
admin

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
发表于 2025-6-8 10:12:18 | 显示全部楼层 |阅读模式
吊销客户端证书
当我们创建了多个用户使用,然后某些原因,个别用户需要禁用的时候,我们就可以使用吊销证书的方式来处理。
首先在你的OpenVPN服务器上0
8 F& _1 M% b2 F6 i
先备份文件:
' B) T( M7 R6 M- {) e8 \0 }5 E4 icp /data/openvpn/easy-rsa-server/pki/crl.pem{,.bak}  我们这里不用使用备份。, G9 T' h" i( F9 E2 n
  
' s2 ?: D% V, ~4 a; p然后再执行下面的操作:$ w& k* ]+ A4 h' _

/ Y1 i# G. v9 O
./easyrsa revoke <client>  # 要吊销的客户端名

: W2 m' M' E* L+ Z示例:
  ]) Q( x8 W' @; z/ s[root@vpnserver easy-rsa-server]# ./easyrsa revoke longrui
; ~9 @0 j+ f! H* R8 I, q* ~$ X' |" j
Note: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
. ~1 J% D! C- h5 E$ kUsing SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
5 B: Y6 W  [1 j! ?$ w9 C# u  s- n3 q  C: O) G$ k+ L) x9 l9 \
Easy-RSA error:" A8 g3 ]1 \1 W% r0 x* `* q2 M
4 z: l6 P0 T: m! A, I; L# S* e
Unable to revoke as the input file is not a valid certificate. Unexpected- Y- _- S3 N' y4 n, n- y
input in file: /data/openvpn/easy-rsa-server/pki/issued/longrui.crt
4 C2 f" w( {) u- a) @
6 Y% `! I" v6 q./easyrsa gen-crl    # 生成crl.pem文件,用来记录吊销的证书; n0 _; m, V/ q' a) B
示例:
* j& w' z) |; F/ \* D) b[root@vpnserver easy-rsa-server]# ./easyrsa gen-crl* Y) c* j1 U% P0 Q
  u0 ^8 r5 [+ |2 H: ]" K
Note: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars- Y2 U" q( ~  u9 P# o
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017/ a1 H; C4 c: ^9 o/ ^9 _
Using configuration from /data/openvpn/easy-rsa-server/pki/easy-rsa-5235.iIUYZT/tmp.kofT2G
% C" u2 z9 d+ X, ]
1 j9 M" p$ K: d' {1 c1 rAn updated CRL has been created.6 S* j6 G( w% c$ H9 O
CRL file: /data/openvpn/easy-rsa-server/pki/crl.pem
5 l* G0 O0 |) @/ K$ L% U0 t9 J
- q2 e$ b4 g: r: w  |; X接下来操作:% f; w/ m4 }! v4 T7 u/ a2 `
cat /data/openvpn/easy-rsa-server/pki/crl.pem >> /data/openvpn/easy-rsa-server/pki/crl.pem.bak8 {; R, R1 _6 A, G, Z
编辑server.conf文件,插入一行:1 O4 ?# ~, C6 G9 F- l- N

4 U/ g' @. z8 _) C1 ^$ _###告知服务端有哪些证书是被吊销的
( z' J1 d( {: i. f8 H/ ecrl-verify /data/openvpn/easy-rsa-server/pki/crl.pem.bak( d  G: c/ e# f' A; Z3 @. Q

; {& w% I+ T5 a. ~3 n
; N+ k: [& t& R6 D% ` # 用来告知服务端有哪些证书是被吊销的) {2 d0 N+ @2 p

' t* c) O( k. g: Z重启下vpn服务4 j" e  i/ ]* Y4 z) @& `

& z( a3 s) p6 p7 q9 ^, s- h! a" V0 C7 L+ N# p% d% }; B3 ?

3 m" v2 v% L1 `- U% b1 y" B9 H* \2 C! ]% h* w0 E1 Y
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

返回首页|Archiver|手机版|小黑屋|易陆发现技术论坛 ( 蜀ICP备2026014127号-1 )

GMT+8, 2026-6-12 01:48 , Processed in 0.012408 second(s), 22 queries .

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表