Предположим, мы создаем сертификаты для OpenVPN с помощью easy-rsa. И у нас есть два клиента - client1 и client2 со своими сертификатами и т.д. Предположим, что через некоторое время нам нужно отключить сертификат client2 как he is a bad guy. Как это сделать?
решение1
Чтобы развить комментарий Майкла Хэмптона, вот как это сделать:
- cd /etc/openvpn/easy-rsa
- . ./vars
- ./revoke-full клиент2.crt
- mv -v /etc/openvpn/easy-rsa/keys/crl.pem /etc/openvpn/
- кот /etc/openvpn/easy-rsa/keys/index.txt
- Убедитесь, что вы видите что-то вроде этого: R 111111111117Z 111111111111Z 01 unknown/C=PH/ST=NCR/L=MC/O=Company/OU=IT/CN=client2/name=client2/[email protected]
- vi /etc/openvpn/server.conf
- Убедитесь, что у вас есть этот "crl-verify crl.pem"
- Сохранить и выйти
- Перезапустите службу OpenVPN.