当前位置: 首页 > 技术随笔 > 禁用指定的OpenVPN客户端用户证书

禁用指定的OpenVPN客户端用户证书

在阅读本文之前,如果你尚未下载安装OpenVPN,你可以点击查看OpenVPN 2.3.0 下载、安装、配置及使用详解

在「服务器<->多客户端」模式的OpenVPN网络环境中,有时候我们需要禁用(吊销)某个OpenVPN客户端的证书。例如,公司的某个人员离职,或者我们的某些客户端计算机由于防护不当致使OpenVPN客户端证书遗失或被他人窃取,此时我们就需要注销该OpenVPN客户端证书,以防止给我们带来潜在的不必要的损失。

禁用指定的OpenVPN客户端证书非常简单,我们只需要在OpenVPN服务器端计算机上打开DOS命令窗口,进入%OpenVPN安装目录%\easy-rsa目录(笔者的安装目录为D:\OpenVPN),然后执行vars命令,再输入revoke-full 客户端名称,即可注销掉指定的OpenVPN客户端证书。如下图所示,我们注销了Common Name为test_revoke_client的客户端证书。

OpenVPN禁用指定客户端

执行注销命令成功后,将会在easy-rsa目录的keys文件夹下,生成几个文件,其中有一个crl.pem文件。crl就是英文certificate revocation list(作废证书列表)的缩写,当然,crl.pem存储的就是被注销的证书列表。我们每禁用一个客户端证书,OpenVPN就会向该文件中追加一个该客户端的加密标识。

OpenVPN crl.pem文件

仅仅这样还是不够的,我们还需要在配置文件中告诉OpenVPN服务器,叫它以后与客户端连接的时候,记得通过crl.pem文件验证该客户端的证书是否已经被注销。因此,我们需要在服务器端的配置文件server.ovpn的最后一行加上

crl-verify "../easy-rsa/keys/crl.pem"

开启crl-verify

然后,我们需要重新启动服务器端的OpenVPN Service服务,这样就将名为「test_revoke_client」的OpenVPN客户端禁用掉了。

在禁用之前,我们使用该客户端连接,会出现表示连接成功的绿色图标。

OpenVPN_revoke_4

禁用之后,我们再次使用该客户端连接,我们会发现右下角的图标将会处于表示「连接不成功」的黄色状态。

OpenVPN禁用该客户端后的显示图标

如果要禁用多个客户端,再继续执行revoke-full 客户端名称的命令就行了。

27 0
我们认为: 用户的主要目的,是为了获取有用的信息,而不是来点击广告的。因此本站将竭力做好内容,并将广告和内容进行分离,确保所有广告不会影响到用户的正常阅读体验。用户仅凭个人意愿和兴趣爱好点击广告。
我们坚信:只有给用户带来价值,用户才会给我们以回报。
CodePlayer技术交流群1CodePlayer技术交流群1

帮朋友打一个硬广告:

P2P网贷系统(Java版本) 新年低价大促销,多年P2P技术积累,系统功能完善(可按需定制,可支持第三方存管、银行存管),架构稳定灵活、性能优异、二次开发快速简单。 另可提供二次开发、安装部署、售后维护、安全培训等一条龙服务。

外行看热闹,内行看门道。可以自信地认为,在系统设计上,比市面上的晓风、迪蒙、方维、绿麻雀、国融信、金和盛等P2P系统要好。
深圳地区支持自带技术人员现场考察源代码、了解主要技术架构,货比三家,再决定是否购买。

也可推荐他人购买,一旦完全成交,推荐人可获得实际售价 10% 的返现。
有意向者,详情请 点击这里 联系,工作时间立即回复。