[OpenVPN] Teil 5: Client Zertifikat zurückziehen
Hier nun der letzte Teil. Weil es ja nun doch vorkommen kann, das zum Beispiel ein Mitarbeiter die Firma wechselt, will man auch in der Lage sein, dessen OpenVPN Zugang zu sperren. Wie das geht zeige ich jetzt.
Anmerkung
Update: Verlinkung auf weitere Anleitungsteile am Ende hinzugefügt.
Client Zertifikat zurückziehen
Wieder geht es zuerst mit der Standard-Prozedur los: dem einlesen der Variablen.
cd /etc/openvpn/easy-rsa
source vars
Anschließend wird das Zertifikat invalidiert.
./revoke-full nutzer1
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Revoking Certificate 02.
Data Base Updated
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
basv.crt: /C=DE/ST=Saxony/L=Chemnitz/O=Knuddelbunte Welt Organisation/CN=nutzer1/emailAddress=nutzer1@hi.n.de
error 23 at 0 depth lookup:certificate revoked
Der error 23 am Ende ist vollkommen normal und gewollt, denn er sagt aus das OpenVPN das Zertifikat nach dem Löschen überprüft und als ungültig befunden hat.
Jetzt kopieren wir die neue crl.pem an eine für OpenVPN lesbare Stelle.
cp /etc/openvpn/easy-rsa/keys/crl.pem /etc/openvpn/
Und sagen OpenVPN das es alle aktiven Verbindungen trennen soll. Dies sollte vorher angekündigt sein, da wirklich jede VPN Verbindung gekappt wird.
pkill -SIGHUP openvpn
Ich hoffe die Kurzanleitung konnte helfen OpenVPN aufzusetzen und einzurichten. Für Kommentare, Anregungen und Kritik bin ich natürlich dankbar.