In vederea realizarii unei conexiuni sigure prin VPN la un server care ruleaza OpenVPN (si nu numai) este necesara folosirea unui certificat. Acest certificat se genereaza pe server-ul de VPN iar apoi se copiaza pe calculatorul clientului si va fi utilizat in realizarea conexiunii.
In continuare vom lua ca exemplu generarea unui certificat VPN pentru utilizatorul lorand.szekely
Pentru revocarea certificatului unui client se foloseste comanda:
./revoke-full marco
Daca apare eroarea :
bash: ./revoke-full: Permission denied
atunci trebuie verificat ca accesul pe fisierul ./revoke-full sa fie 0744 (implicit este 644 ).
De asemenea se poate da un restart la serviciu /etc/init.d/openvpn restart si apoi rula comanda ./vars.
Mesajul care apare dupa revocare trebuie sa fie:
[root@gw openvpn]# ./revoke-full marco Using configuration from /etc/openvpn/openssl.cnf Revoking Certificate 0A. Data Base Updated Using configuration from /etc/openvpn/openssl.cnf marco.crt: C = RO, ST = TM, O = Lintesa, CN = marco, emailAddress = email@domain.ro error 23 at 0 depth lookup:certificate revoked
La revocarea unui certificat se genereaza fisierul crl.pem care trebuie copiat in locatia /etc/openvpn/ , apoi in fisierul server.conf se adauga linia crl-verify crl.pem . Fisierul crl.pem este de tip append-only si este verificat de fiecare data cand un client se conecteaza prin openvpn, asa ca nu trebuie facut restart la serviciul openvpn dupa revocarea unui certificat.
Nota: Toate comenzile au fost executate in folderul /etc/openvpn .
Alte surse:
http://openvpn.net/index.php/open-source/documentation/howto.html#revoke
http://blog.abhijeetr.com/2012/06/revokeunrevoke-client-certificate-in.html