我使用easy-rsa/2.0程序为OpenVPN构build服务器和客户端证书。 我把客户端和ca.crt一起复制到客户端。 都好。
我现在需要从被盗的笔记本电脑中吊销客户端证书。 在/usr/share/doc/openvpn/examples/easy-rsa/2.0有一个撤销脚本。 我已经成功运行它,它说“数据库更新”。 它在examples / doc文件夹的子目录中创build了一些文件。
我已经将创build的crl.pem复制到/etc/openvpn/crl.pem并且已经将crl-verify /etc/openvpn/crl.pem添加到server.conf 。
有什么办法可以certificate我做了正确的事情,而且确实会阻止访问?
此外,我不清楚这个“数据库”存储在什么地方? 有没有办法检查这个数据库?
在easy-rsa目录下有一个“revoke-full”文件。 当您以user / key作为参数运行此脚本时,easy-rsa / keys目录下的index.txt文件将被更新。
您将在左侧的第一列为您的用户看到“R”(已撤销)。
使用
./list-crl
从easy-rsa目录中显示撤销证书的序列号。
同时检查openvpn日志中的“CRL CHECK FAILED”消息。