OpenVPN – odwołanie certyfikatu użytkownika

By | 7 września 2018

Instalacje i ustawienie serwera OpenVPN nie jest trudne, ale to dopiero początek 🙂 Po pewnym czasie przychodzi moment, że musimy odebrać jakiemuś użytkownikowi dostęp np. w przypadku odejścia go z pracy. W takim przypadku wystarczy odwołać certyfikat takiego użytkownika. W tym celu wchodzimy do katalogu zawierającego skrypt „vars”. W omawianym przypadku jest to „/etc/openvpn/skrypty”

cd /etc/openvpn/skrypty

Wydajemy poniższą komendę

source ./vars

Poniżej widzimy ostrzeżenie o usunięciu wszystkich kluczy i nie tylko ze wspomnianego folderu, gdybyśmy wykonali polecenie „./clean-all”.
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/klucze
Czas na najważniejsza komendę

./revoke-full nazwa_użytkownika

Powinniśmy zobaczyć komunikat zbliżony do poniższego:
Using configuration from /etc/openvpn/skrypty/openssl-1.0.0.cnf
Revoking Certificate 06.
Data Base Updated
Using configuration from /etc/openvpn/skrypty/openssl-1.0.0.cnf
przemek.crt: C = PL, ST = lodzkie, L = Lodz, O = specadmin, OU = IT, CN = przemek, name = EasyRSA, emailAddress = tutajwysylacspam@specadmin.pl
error 23 at 0 depth lookup:certificate revoked

Po wykonaniu powyższej czynności, powinien wygenerować się w katalogu z kluczami plik „crl.pem”. W przypadku pierwszego odwołania, należy dodać poniższą linię do pliku konfiguracyjnego serwera OpenVPN.
crl-verify ścieżka_do_pliku_crl.pem
W naszym przypadku edytowanym plikiem był „/etc/openvpn/server.conf”, a dodaliśmy następujący wpis:
crl-verify /etc/openvpn/klucze/crl.pem>
Na koniec restartujemy usługę serwera OpenVPN i powinno działać. Użytkownik, którego dotyczyła powyższa operacja, nie powinien mieć już dostępu do naszego VPN-a 🙂