Pentru revocarea certificatului unui client se foloseste comanda:
./revoke-full marco
Daca apare eroarea :
bash: ./revoke-full: Permission denied
atunci trebuie verificat ca accesul pe fisierul ./revoke-full sa fie 0744 (implicit este 644 ).
De asemenea se poate da un restart la serviciu /etc/init.d/openvpn restart si apoi rula comanda ./vars.
Mesajul care apare dupa revocare trebuie sa fie:
[root@gw openvpn]# ./revoke-full marco Using configuration from /etc/openvpn/openssl.cnf Revoking Certificate 0A. Data Base Updated Using configuration from /etc/openvpn/openssl.cnf marco.crt: C = RO, ST = TM, O = Lintesa, CN = marco, emailAddress = email@domain.ro error 23 at 0 depth lookup:certificate revoked
La revocarea unui certificat se genereaza fisierul crl.pem care trebuie copiat in locatia /etc/openvpn/ , apoi in fisierul server.conf se adauga linia crl-verify crl.pem . Fisierul crl.pem este de tip append-only si este verificat de fiecare data cand un client se conecteaza prin openvpn, asa ca nu trebuie facut restart la serviciul openvpn dupa revocarea unui certificat.
Nota: Toate comenzile au fost executate in folderul /etc/openvpn .
Alte surse:
http://openvpn.net/index.php/open-source/documentation/howto.html#revoke
http://blog.abhijeetr.com/2012/06/revokeunrevoke-client-certificate-in.html