openvpn 服务吊销客户端证书操作步骤

admin

吊销客户端证书​

当我们创建了多个用户使用，然后某些原因，个别用户需要禁用的时候，我们就可以使用吊销证书的方式来处理。

首先在你的OpenVPN服务器上0

$ Y+ A# f6 f& u$ w& u4 i

先备份文件：
' i% {7 X' O2 p7 F0 g/ Y- acp /data/openvpn/easy-rsa-server/pki/crl.pem{,.bak}  我们这里不用使用备份。
! s( t& d+ i3 Y6 s' [  
4 I" ?, O" K8 K9 S8 j然后再执行下面的操作：
% a& ~  n- N- s4 `$ e- x/ O
' I% k- P/ P  ]% x/ U% ?

./easyrsa revoke <client>  # 要吊销的客户端名

3 I$ O# f7 h/ ?2 n7 p% Y示例：
[root@vpnserver easy-rsa-server]# ./easyrsa revoke longrui
" p5 N6 a( [5 U& l
Note: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
4 z* \8 r& c/ }8 f6 U# f/ z5 nUsing SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
3 t3 k. o2 O- n1 ?7 z
Easy-RSA error:

  T2 ^' T7 C1 |3 N/ YUnable to revoke as the input file is not a valid certificate. Unexpected
, Q* ]5 P9 o; {# linput in file: /data/openvpn/easy-rsa-server/pki/issued/longrui.crt

./easyrsa gen-crl    # 生成crl.pem文件，用来记录吊销的证书
示例：
6 H3 B! w5 q5 A1 y. P[root@vpnserver easy-rsa-server]# ./easyrsa gen-crl

2 t. z* [8 G7 @; Z+ ~Note: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
Using SSL: openssl OpenSSL 1.0.2k-fips  26 Jan 2017
Using configuration from /data/openvpn/easy-rsa-server/pki/easy-rsa-5235.iIUYZT/tmp.kofT2G
1 \+ u, ^- y- ~& n0 F
+ h0 A5 p5 C% RAn updated CRL has been created.
CRL file: /data/openvpn/easy-rsa-server/pki/crl.pem

9 Z' T* R% O3 z& u1 j接下来操作：
8 B# i, ^& D7 L$ ~3 g2 N0 y$ mcat /data/openvpn/easy-rsa-server/pki/crl.pem >> /data/openvpn/easy-rsa-server/pki/crl.pem.bak
2 M1 y8 D) P! \" n: d4 e7 f& G编辑server.conf文件，插入一行：
4 v# f+ ~$ u/ j8 t" m8 Q' k& r
###告知服务端有哪些证书是被吊销的
7 h# ?6 Y: t6 N! `/ n6 x# o) f+ S/ }crl-verify /data/openvpn/easy-rsa-server/pki/crl.pem.bak


# 用来告知服务端有哪些证书是被吊销的

重启下vpn服务


3 Q8 L+ q+ y; w2 ~7 W9 `
$ P( Q* ^6 V1 u2 _8 @$ T