如何在 Linux OpenVPN 服务端吊销(revoke)客户端证书?

日期: 2007-09-05 07:31 | 联系我 | 关注我: Telegram, Twitter

　　OpenVPN 服务器与 VPN 客户端之间的身份验证, 主要是通过证书来进行的。有时我们需要禁止某个用户连接 VPN 服务器，则将其证书吊销即可。要吊销(Revoke) OpenVPN 客户端证书，可以参照本文( https://www.xiaohui.com/dev/server/20070904-revoke-openvpn-client.htm )中的步骤执行(以 Linux 系统为例。Windows 下的大同小异):

进入 OpenVPN 安装目录的 easy-rsa 子目录。例如我的为 /openvpn-2.0.5/easy-rsa/:
```
cd /openvpn-2.0.5/easy-rsa
```
执行 vars 命令
```
. vars
```
使用 revoke-full 命令，吊销客户端证书。命令格式为：
```
revoke-full 
```
是VPN 客户端证书的用户名称。例如：
```
./revoke-full client1
```
这条命令执行完成之后，会在 keys 目录下面，生成一个 crl.pem 文件，这个文件中包含了吊销证书的名单。
成功注销某个证书之后，可以打开　keys/index.txt 文件，可以看到被注销的证书前面，已标记为R．
确保服务端配置文件打开了 crl-verify 选项
在服务端的配置文件 server.conf 中，加入这样一行：
```
crl-verify crl.pem
```
如果 server.conf 文件和 crl.pem 没有在同一目录下面，则 crl.pem 应该写绝对路径，例如:
```
crl-verify /openvpn-2.0.5/easy-rsa/keys/crl.pem
```
重启 OpenVPN 服务。

Linux 下 OpenVPN 安装和 Windows OpenVPN GUI 安装笔记

前一篇：推荐一款性价比比较高的美国虚拟主机: Hostgator
下一篇：Vista 下安装最新的 Apache + PHP + MySQL 指南

标签: Linux | OpenVPN | VPN

文章评论

发表你的评论 | 评论中心 | 联系我

第 1 楼 @heavenmade1201 发表于 2009-10-12 20:14 | @heavenmade1201 的所有评论

您好，我是之前给你发邮件请教“注销客户端证书”问题的朋友，现在已经解决了

好像你文章中的

crl-verify cd /openvpn-2.0.5/easy-rsa/keys/crl.pem 那行好像多了一个"cd"

我这边去掉cd后，运行一切正常

不知那个地方是否笔误？

XiaoHui 回复于 2009-10-12 21:20:
邮件已经回复了。确实是笔误，已校正，感谢！

第 2 楼 killer 发表于 2010-03-24 14:16 | killer 的所有评论

好，我的OPEVPN注销旧证书重启服务后新证书也无法登录了，取消server.conf那一行crl-verify crl.pem恢复正常。路径什么都都检查了，没有问题。请帮忙分析下，谢谢！

第 3 楼剑次狼发表于 2010-06-24 05:23 | 剑次狼的所有评论

crl-verify 建议要放在/etc/openvpn/下
即在服务端的配置文件 server.conf 中，加入这样一行：
crl-verify /etc/openvpn/crl.pem

否则会报错cannot read: crl.pem: Permission denied (errno=13)
官方解释是要可读的。
OpenVPN needs to have the crl.pem file in a world readable directory because OpenVPN executes as nobody:nogroup once launched, and it checks this file on each client connection. You do not wish to set /etc/openvpn/easy-rsa/keys/ world readable.

Build the Diffie-Hellman parameters for the server side

第 4 楼菜青虫发表于 2011-08-26 16:26 | 菜青虫的所有评论

注销的证书还能恢复吗？

XiaoHui 回复于 2011-08-26 17:55:
好象不能。你可以试验一下。

第 5 楼 zw 发表于 2012-09-19 12:29 | zw 的所有评论

这样操作之后好像所有的client都不能拨号成功了,都被注销了,注释该行又可以拨通.

共有评论 5 条, 显示 5 条。

发表你的评论如果你想针对此文发表评论, 请填写下列表单:
姓名:	* 必填 (Twitter 用户可输入以 @ 开头的用户名, Steemit 用户可输入 @@ 开头的用户名)
E-mail:	可选 (不会被公开。如果我回复了你的评论，你将会收到邮件通知)
反垃圾广告:	为了防止广告机器人自动发贴, 请计算下列表达式的值: 7 x 5 + 1 = * 必填
评论内容:	* 必填你可以使用下列标签修饰文字: [b] 文字 [/b]: 加粗文字 [quote] 文字 [/quote]: 引用文字