首页 随笔 乐走天涯 程序资料 评论中心 Tag 论坛 其他资源 搜索 消息中心 联系我 关于 RSS

如何在 Linux OpenVPN 服务端吊销(revoke)客户端证书?


日期: 2007-09-05 07:31 | 联系我 | 关注我: SteemIT, Twitter, Google+

  OpenVPN 服务器与 VPN 客户端之间的身份验证, 主要是通过证书来进行的。有时我们需要禁止某个用户连接 VPN 服务器,则将其证书吊销即可。要吊销(Revoke) OpenVPN 客户端证书,可以参照本文( https://www.xiaohui.com/dev/server/20070904-revoke-openvpn-client.htm )中的步骤执行(以 Linux 系统为例。Windows 下的大同小异):

  1. 进入 OpenVPN 安装目录的 easy-rsa 子目录。例如我的为 /openvpn-2.0.5/easy-rsa/:
    cd /openvpn-2.0.5/easy-rsa

  2. 执行 vars 命令

    . vars

  3. 使用 revoke-full 命令,吊销客户端证书。命令格式为:

    revoke-full 
    是VPN 客户端证书的用户名称。例如:
    ./revoke-full client1
    这条命令执行完成之后, 会在 keys 目录下面, 生成一个 crl.pem 文件,这个文件中包含了吊销证书的名单。

    成功注销某个证书之后,可以打开 keys/index.txt 文件,可以看到被注销的证书前面,已标记为R.

  4. 确保服务端配置文件打开了 crl-verify 选项

    在服务端的配置文件 server.conf 中,加入这样一行:

    crl-verify crl.pem
    如果 server.conf 文件和 crl.pem 没有在同一目录下面,则 crl.pem 应该写绝对路径,例如:
    crl-verify /openvpn-2.0.5/easy-rsa/keys/crl.pem

  5. 重启 OpenVPN 服务

相关文章:

Linux 下 OpenVPN 安装和 Windows OpenVPN GUI 安装笔记

标签: Linux | OpenVPN | VPN

 文章评论

第 1 楼  发表于 2009-10-12 20:14 | @heavenmade1201 的所有评论
您好,我是之前给你发邮件请教“注销客户端证书”问题的朋友,现在已经解决了

好像你文章中的

crl-verify cd /openvpn-2.0.5/easy-rsa/keys/crl.pem 那行好像多了一个"cd"

我这边去掉cd后,运行一切正常

不知那个地方是否笔误?
回复于 2009-10-12 21:20:
邮件已经回复了。确实是笔误,已校正,感谢!

第 2 楼  发表于 2010-03-24 14:16 | killer 的所有评论
好,我的OPEVPN注销旧证书重启服务后新证书也无法登录了,取消server.conf那一行crl-verify crl.pem恢复正常。路径什么都都检查了,没有问题。请帮忙分析下,谢谢!

第 3 楼  发表于 2010-06-24 05:23 | 剑次狼 的所有评论
crl-verify 建议要放在/etc/openvpn/下
即在服务端的配置文件 server.conf 中,加入这样一行:
crl-verify /etc/openvpn/crl.pem

否则会报错cannot read: crl.pem: Permission denied (errno=13)
官方解释是要可读的。
OpenVPN needs to have the crl.pem file in a world readable directory because OpenVPN executes as nobody:nogroup once launched, and it checks this file on each client connection. You do not wish to set /etc/openvpn/easy-rsa/keys/ world readable.

Build the Diffie-Hellman parameters for the server side

第 4 楼  发表于 2011-08-26 16:26 | 菜青虫 的所有评论
注销的证书 还能恢复吗?
回复于 2011-08-26 17:55:
好象不能。你可以试验一下。

第 5 楼  发表于 2012-09-19 12:29 | zw 的所有评论
这样操作之后好像所有的client都不能拨号成功了,都被注销了,注释该行又可以拨通.

共有评论 5 条, 显示 5 条。

发表你的评论
如果你想针对此文发表评论, 请填写下列表单:
姓名: * 必填 (Twitter 用户可输入以 @ 开头的用户名, Steemit 用户可输入 @@ 开头的用户名)
E-mail: 可选 (不会被公开。如果我回复了你的评论,你将会收到邮件通知)
网站 / Blog: 可选
反垃圾广告: 为了防止广告机器人自动发贴, 请计算下列表达式的值:
5 x 1 + 3 = * 必填
评论内容:
* 必填
你可以使用下列标签修饰文字:
[b] 文字 [/b]: 加粗文字
[quote] 文字 [/quote]: 引用文字

 
首页 随笔 乐走天涯 猎户星 Google Earth 程序资料 程序生活 评论 Tag 论坛 资源 搜索 联系 关于 隐私声明 版权声明 订阅邮件

程序员小辉 建站于 1997 ◇ 做一名最好的开发者是我不变的理想。
Copyright © XiaoHui.com; 保留所有权利。