No meu servidor eu não tenho os scripts easy-rsa, mas você pode revogar certificados de cliente OpenVPN sem o easy-rsa manualmente usando openssl
.
Muitas informações são obtidas de este recurso útil , mas se seu servidor OpenVPN é configurado como o meu, a autoridade de certificação é configurada juntamente com as configurações do servidor OpenVPN, com os certificados de cliente gerados no servidor (eu uso Ansible + Sovereign para configurar certificados para um número de usuários de uma só vez). p>
# as root in /etc/openvpn
openssl ca -config openssl-server-certificate.cnf -revoke /path/to/client.crt
Isso revoga o certificado e atualiza o banco de dados, mas você ainda precisa ter certeza de que o OpenVPN está verificando uma lista de revogação de certificado, edite o server.conf
e verifique se há uma linha que comece com crl-verify
. Se você não encontrar um, adicione-o:
crl-verify /usr/share/openvpn/openssl-server.crl
(Você pode usar qualquer caminho que quiser, mas a maioria dos servidores OpenVPN são configurados para serem executados como nobody:nobody
, então você precisará de algum caminho que seja mundialmente executável - não /etc/openvpn
)
E finalmente diga ao OpenSSL para gerar novamente a lista de revogação
openssl ca -config openssl-server-certificate.cnf -gencrl -out /usr/share/openvpn/openssl-server.crl
(ou onde quer que sua lista de revogação esteja). Reinicie o serviço OpenVPN e ele deverá inserir as alterações na configuração e usar a CRL ao verificar solicitações de conexão - se o certificado for revogado, a conexão será eliminada.