在这篇博客文章中,我们将讨论如何吊销openvpn颁发的证书。我们正在Windows机器上测试这个选项,但我们也可以在Linux机器上使用相同的过程。在我们的案例中,我们使用简单的rsa 3脚本来吊销OpenVPN服务的SSL/TLS证书。
首先,吊销证书意味着使之前签署的证书无效,使其不能再用于openvpn客户端身份验证。
想要吊销证书的典型原因包括
•与证书相关的私钥被泄露或被盗。
•加密私钥的用户忘记了密钥上的密码。
•您想终止VPN用户的访问。
第一件事是登录到OpenVPN服务器,通常在那里生成OpenVPN客户端证书并使用CA证书进行签名。
现在打开windows命令提示符,进入目录“C:\Program Files\OpenVPN\aeasy-rsa”。之后推出EasyRSA外壳。对于该问题,请执行以下命令。
现在,为了显示我们当前使用的客户端证书的详细信息,可以通过发出以下命令来获取。
在此命令中,将客户端字段替换为您自己的客户端证书名称。
从屏幕上我们可以看到我们颁发的客户端证书的详细信息。
现在尝试使用此客户端证书连接到您自己的OpenVPN服务器,并确保连接成功。因此,这意味着现在我们的openVPN客户端证书是有效的,可以从客户端使用此证书进行openVPN身份验证。
现在让我们看看如何吊销已经在使用OpenVPN客户端证书。
从简单的rsa外壳本身。发出以下命令。在这里,将客户端名称替换为您自己的客户端证书名称。
键入“yes”并点击回车键以确认撤销。等待命令执行完成。一旦完成,我们将看到消息,因为撤销是成功的。revoke命令脚本将在目录C:\Program Files/OpenVPN/easy rsa/pki/下生成一个名为CRL.pem的CRL(证书吊销列表)文件。
附上一张截图供参考。
现在要创建一个更新的CRL,其中包含到目前为止所有吊销的证书,请发出以下命令。
您将看到一条消息,即已创建更新的CRL,CRL文件位置为C:\Program Files/OpenVPN/easy-rsa/pki/CRL.pem
并附上屏幕截图供参考。
在生成更新的“crl.pem”文件后,下一步是我们需要在openVPN服务器配置文件中启用crl验证。然后,只有所有连接的客户端都将根据CRL验证其客户端证书,任何正匹配都将导致连接从OpenVPN服务器端断开。
因此,使用任何文本编辑器打开目录“C:\Program Files\OpenVPN\config”下名为“server.ovpn”的文件。在这里我用了记事本,从屏幕上你可以看到我已经打开了文件。
在这一行中,我在tls auth行之后添加了crl-verify“C:\\Program Files\OpenVPN\\easy rsa\\\pki\\crl.pem”一行。保存内容并退出文本编辑器。
附上一张截图供参考。