内容目录
在阅读本文之前,如果你尚未下载安装OpenVPN,你可以点击查看OpenVPN 2.3.0 下载、安装、配置及使用详解。
在“服务器<->多客户端”模式的OpenVPN网络环境中,有时候我们需要禁用(吊销)某个OpenVPN客户端的证书。例如,公司的某个人员离职,或者我们的某些客户端计算机由于防护不当致使OpenVPN客户端证书遗失或被他人窃取,此时我们就需要注销该OpenVPN客户端证书,以防止给我们带来潜在的不必要的损失。
禁用指定的OpenVPN客户端证书非常简单,我们只需要在OpenVPN服务器端计算机上打开DOS命令窗口,进入%OpenVPN安装目录%\easy-rsa
目录(笔者的安装目录为D:\OpenVPN
),然后执行vars
命令,再输入revoke-full 客户端名称
,即可注销掉指定的OpenVPN客户端证书。如下图所示,我们注销了Common Name为test_revoke_client的客户端证书。
执行注销命令成功后,将会在easy-rsa目录的keys文件夹下,生成几个文件,其中有一个crl.pem文件。crl就是英文certificate revocation list(作废证书列表)的缩写,当然,crl.pem存储的就是被注销的证书列表。我们每禁用一个客户端证书,OpenVPN就会向该文件中追加一个该客户端的加密标识。
仅仅这样还是不够的,我们还需要在配置文件中告诉OpenVPN服务器,叫它以后与客户端连接的时候,记得通过crl.pem文件验证该客户端的证书是否已经被注销。因此,我们需要在服务器端的配置文件server.ovpn的最后一行加上
crl-verify "../easy-rsa/keys/crl.pem"
然后,我们需要重新启动服务器端的OpenVPN Service
服务,这样就将名为“test_revoke_client”的OpenVPN客户端禁用掉了。
在禁用之前,我们使用该客户端连接,会出现表示连接成功的绿色图标。
禁用之后,我们再次使用该客户端连接,我们会发现右下角的图标将会处于表示“连接不成功”的黄色状态。
如果要禁用多个客户端,再继续执行revoke-full 客户端名称
的命令就行了。
0 条评论
撰写评论