您的浏览器过于古老 & 陈旧。为了更好的访问体验, 请 升级你的浏览器
Ready 发布于2013年01月31日 06:32

原创 禁用指定的OpenVPN客户端用户证书

7808 次浏览 读完需要≈ 5 分钟

内容目录

在阅读本文之前,如果你尚未下载安装OpenVPN,你可以点击查看OpenVPN 2.3.0 下载、安装、配置及使用详解

在“服务器<->多客户端”模式的OpenVPN网络环境中,有时候我们需要禁用(吊销)某个OpenVPN客户端的证书。例如,公司的某个人员离职,或者我们的某些客户端计算机由于防护不当致使OpenVPN客户端证书遗失或被他人窃取,此时我们就需要注销该OpenVPN客户端证书,以防止给我们带来潜在的不必要的损失。

禁用指定的OpenVPN客户端证书非常简单,我们只需要在OpenVPN服务器端计算机上打开DOS命令窗口,进入%OpenVPN安装目录%\easy-rsa目录(笔者的安装目录为D:\OpenVPN),然后执行vars命令,再输入revoke-full 客户端名称,即可注销掉指定的OpenVPN客户端证书。如下图所示,我们注销了Common Name为test_revoke_client的客户端证书。

OpenVPN禁用指定客户端

执行注销命令成功后,将会在easy-rsa目录的keys文件夹下,生成几个文件,其中有一个crl.pem文件。crl就是英文certificate revocation list(作废证书列表)的缩写,当然,crl.pem存储的就是被注销的证书列表。我们每禁用一个客户端证书,OpenVPN就会向该文件中追加一个该客户端的加密标识。

OpenVPN crl.pem文件

仅仅这样还是不够的,我们还需要在配置文件中告诉OpenVPN服务器,叫它以后与客户端连接的时候,记得通过crl.pem文件验证该客户端的证书是否已经被注销。因此,我们需要在服务器端的配置文件server.ovpn的最后一行加上

crl-verify "../easy-rsa/keys/crl.pem"

开启crl-verify

然后,我们需要重新启动服务器端的OpenVPN Service服务,这样就将名为“test_revoke_client”的OpenVPN客户端禁用掉了。

在禁用之前,我们使用该客户端连接,会出现表示连接成功的绿色图标。

OpenVPN_revoke_4

禁用之后,我们再次使用该客户端连接,我们会发现右下角的图标将会处于表示“连接不成功”的黄色状态。

OpenVPN禁用该客户端后的显示图标

如果要禁用多个客户端,再继续执行revoke-full 客户端名称的命令就行了。

  • CodePlayer技术交流群1
  • CodePlayer技术交流群2

0 条评论

撰写评论