Допустим, мы создаем сертификаты для openvpn с помощью easy-rsa. И у нас есть два клиента - client1 и client2 с их сертификатами и т. Д. Предположим, что через некоторое время нам нужно отключить сертификат client2 как he is a bad guy. Как это сделать?
Чтобы уточнить комментарий Майкла Хэмптона, вот как вы это делаете:
- cd / etc / openvpn / easy-rsa
- . ./vars
- ./revoke-full client2.crt
- mv -v /etc/openvpn/easy-rsa/keys/crl.pem / etc / openvpn /
- кот /etc/openvpn/easy-rsa/keys/index.txt
- Убедитесь, что вы видите что-то вроде этого: R 111111111117Z 111111111111Z 01 unknown/C=PH/ST=NCR/L=MC/O=Company/OU=IT/CN=client2/name=client2/emailAddress=client2@company.com
- vi /etc/openvpn/server.conf
- Убедитесь, что у вас есть этот "crl-verify crl.pem"
- Сохранить и выйти
- Перезапустить службу OpenVPN