马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
吊销客户端证书当我们创建了多个用户使用,然后某些原因,个别用户需要禁用的时候,我们就可以使用吊销证书的方式来处理。 首先在你的OpenVPN服务器上0
( n' A% }) S3 l4 _4 S
先备份文件:
! a5 a: P! Z+ x7 F3 }cp /data/openvpn/easy-rsa-server/pki/crl.pem{,.bak} 我们这里不用使用备份。
7 p, t' l% t* {$ l5 W f9 M: y* D3 {: I3 E- q' h
然后再执行下面的操作:, U, ?- n/ ~' {
& x' i" }7 x* A$ Z: d4 c% g
./easyrsa revoke <client> # 要吊销的客户端名
( V7 s5 q0 Q6 D. ]: q0 r0 q: F示例:
c6 N. S, o& }7 w[root@vpnserver easy-rsa-server]# ./easyrsa revoke longrui) L0 W" K/ ?/ _
# z: @" y1 T7 c2 h8 P `6 O; XNote: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
3 h. P1 u: }' z$ d+ ? M9 ^, \Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
: B& R+ ^ ~+ E3 [' b6 u- @+ r+ R
& _) P1 h5 R7 I# r# }# P! Q8 x2 dEasy-RSA error:7 G6 ^0 c0 u5 Z+ Z
2 M- z1 f6 o8 }8 A) L' D
Unable to revoke as the input file is not a valid certificate. Unexpected; f/ u- a3 s$ f! U/ d
input in file: /data/openvpn/easy-rsa-server/pki/issued/longrui.crt
3 [% s4 ~; O9 @; |! E+ L" u0 n
$ A. ~& c- P% K8 `9 J./easyrsa gen-crl # 生成crl.pem文件,用来记录吊销的证书
! W. D' ^% P% i o5 f- B示例:4 ]" f6 f6 U# r7 Y9 ?. ^# V4 }' m
[root@vpnserver easy-rsa-server]# ./easyrsa gen-crl* b7 C5 H: z5 Q. T
6 V4 V, Y+ ?/ x9 S
Note: using Easy-RSA configuration from: /data/openvpn/easy-rsa-server/vars
9 p( w4 u4 G( C$ { } Z$ oUsing SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 20171 V2 a" \0 R X+ o, ]
Using configuration from /data/openvpn/easy-rsa-server/pki/easy-rsa-5235.iIUYZT/tmp.kofT2G; S' s! _; `0 a5 U" v1 l/ Q. @
$ N- ]0 H( G# {) U l( c
An updated CRL has been created.: Q: X8 U H! m' y1 \& _$ N
CRL file: /data/openvpn/easy-rsa-server/pki/crl.pem
`" R# h% `' n: _' c, q W& \
- r. ^" L, r6 y! W+ Q8 ?( x( L接下来操作:" q0 n9 p9 M/ j }5 k
cat /data/openvpn/easy-rsa-server/pki/crl.pem >> /data/openvpn/easy-rsa-server/pki/crl.pem.bak9 I: e4 U/ m* y. f% d
编辑server.conf文件,插入一行:: G" U3 w- \5 t ]1 O3 z8 B s
0 P3 S+ Z/ T4 o; ~ h###告知服务端有哪些证书是被吊销的
5 A1 S4 j! N% D0 e' w: l# hcrl-verify /data/openvpn/easy-rsa-server/pki/crl.pem.bak9 A! L/ N7 n, `
+ O1 ^* t5 \7 Y5 r6 C2 ~0 w' P# y2 J6 y4 t) x* B7 m/ o$ s) K. {
# 用来告知服务端有哪些证书是被吊销的
4 r3 {9 _+ N7 f+ g& u- `/ ]" i' {) ]: L* m) u) t$ g' p+ |8 r! l. l
重启下vpn服务
& k2 O7 C. c9 N: H3 r( v+ r) S K. R L8 d0 W
" N4 B; B/ I* W1 q [6 a( Z
( `" S Z4 q2 }# K
% o/ s2 Q) [% e e+ Z Z/ B
| 
/4 
窥视卡
雷达卡
发表于 2025-6-8 10:12:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
