Revocación de Certificados de Cliente Openvpn

Revocación de Certificados de Cliente

De vez en cuando, puede que tenga que revocar un certificado de cliente para impedir el acceso adicional al servidor OpenVPN.

Para ello, ingrese su directorio de CA y vuelva a generar el archivo vars:

   cd ~/openvpn-ca
   source vars

A continuación, llame al comando revoke-full usando el nombre del cliente que desea revocar:

   ./revoke-full client3

Esto mostrará algo de salida, terminando en error 23. Esto es normal y el proceso debería haber generado con éxito la información de revocación necesaria, que se almacena en un archivo llamado crl.pem dentro del subdirectorio keys.

Transfiera este archivo al directorio de configuración /etc/openvpn:

   sudo cp ~/openvpn-ca/keys/crl.pem /etc/openvpn

A continuación, abra el archivo de configuración del servidor OpenVPN:

   sudo nano /etc/openvpn/server.conf

En la parte inferior del archivo, agregue la opción crl-verify para que el servidor OpenVPN compruebe la lista de revocación de certificados que hemos creado cada vez que se realiza un intento de conexión: /etc/openvpn/server.conf

crl-verify crl.pem

Guarde y cierre el archivo.

Finalmente, reinicie OpenVPN para implementar la revocación de certificados:

   sudo systemctl restart openvpn@server

El cliente ahora debería ser capaz de conectar con éxito al servidor utilizando la credencial antigua.

Para revocar clientes adicionales, siga este proceso:

   Genere una nueva lista de revocación de certificados mediante la búsqueda del archivo vars en el directorio ~/openvpn-ca y luego llamando al script de revoke-full en el nombre del cliente.
   Copie la nueva lista de revocación de certificados en el directorio /etc/openvpn para sobrescribir la lista antigua.
   Reinicie el servicio OpenVPN.

Este proceso se puede utilizar para revocar cualquier certificado que haya emitido anteriormente para su servidor.