如何在OpenVPN服务端吊销客户端证书

原文：http://server.it168.com/server/2007-12-27/200712270949485.shtml

OpenVPN 服务器与 VPN 客户端之间的身份验证, 主要是通过证书来进行的。有时我们需要禁止某个用户连接 VPN 服务器，则将其证书吊销即可。要吊销(Revoke) OpenVPN 客户端证书，可以参照相关文章(点击阅读)中的步骤执行(以 Linux 系统为例。Windows 下的大同小异):

    1. 进入 OpenVPN 安装目录的 easy-rsa 子目录。例如我的为 /openvpn-2.0.5/easy-rsa/:
cd /openvpn-2.0.5/easy-rsa

    2. 执行 vars 命令

    . vars

    3. 使用 revoke-full 命令，吊销客户端证书。命令格式为：

    revoke-full

    是VPN 客户端证书的用户名称。例如：

    ./revoke-full client1

    这条命令执行完成之后， 会在 keys 目录下面， 生成一个 crl.pem 文件，这个文件中包含了吊销证书的名单。

    成功注销某个证书之后，可以打开　keys/index.txt 文件，可以看到被注销的证书前面，已标记为R．

    4. 确保服务端配置文件打开了 crl-verify 选项

    在服务端的配置文件 server.conf 中，加入这样一行：

    crl-verify crl.pem

    如果 server.conf 文件和 crl.pem 没有在同一目录下面，则 crl.pem 应该写绝对路径，例如:

    crl-verify cd /openvpn-2.0.5/easy-rsa/keys/crl.pem

    5. 重启 OpenVPN 服务器。