OpenVPN服务器与 VPN 客户端之间的身份验证, 主要是通过证书来进行的。有时我们需要禁止某个用户连接 VPN 服务器,则将其证书吊销即可。要吊销(Revoke) OpenVPN 客户端证书, (以 Linux 系统为例。Windows 下的大同小异):
- 进入 OpenVPN 安装目录的 easy-rsa 子目录。例如我的为 /etc/openvpn/easy-rsa/:
cd /etc/openvpn/easy-rsa
- 执行 vars 命令
. vars
- 使用revoke-full命令,吊销客户端证书。命令格式为:
revoke-full
是VPN 客户端证书的用户名称。例如:
./revoke-full client1(用户名)
这条命令执行完成之后, 会在 keys 目录下面, 生成一个crl.pem 文件,这个文件中包含了吊销证书的名单。
加密的内容
成功注销某个证书之后,可以打开 keys/index.txt 文件,可以看到被注销的证书前面,已标记为R.
- 确保服务端配置文件打开了 crl-verify 选项
在服务端的配置文件 server.conf 中,加入这样一行:(Server.conf在 /etc/openvpn 下面)
crl-verify crl.pem
如果 server.conf 文件和 crl.pem 没有在同一目录下面,则 crl.pem 应该写绝对路径,例如: (crl.pem移动至openVPN目录下即可)
crl-verify /openvpn/easy-rsa/keys/crl.pem
- 重启 OpenVPN 服务。
service openVPN restart