Home > linux, windows > [OpenVPN] Teil 5: Client Zertifikat zurückziehen

[OpenVPN] Teil 5: Client Zertifikat zurückziehen

17. Dezember 2008 Einen Kommentar schreiben Kommentare

Update: Verlinkung auf weitere Anleitungsteile am Ende hinzugefügt.

Hier nun der letzte Teil. Weil es ja nun doch vorkommen kann, das zum Beispiel ein Mitarbeiter die Firma wechselt, will man auch in der Lage sein, dessen OpenVPN Zugang zu sperren. Wie das geht zeige ich jetzt.

Client Zertifikat zurückziehen


Wieder geht es zuerst mit der Standard-Prozedur los: dem einlesen der Variablen.

cd /etc/openvpn/easy-rsa
source vars


Anschließend wird das Zertifikat invalidiert.

./revoke-full nutzer1
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Revoking Certificate 02.
Data Base Updated
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
basv.crt: /C=DE/ST=Saxony/L=Chemnitz/O=Knuddelbunte Welt Organisation/CN=nutzer1/emailAddress=nutzer1@hi.n.de
error 23 at 0 depth lookup:certificate revoked


Der error 23 am Ende ist vollkommen normal und gewollt, denn er sagt aus das OpenVPN das Zertifikat nach dem Löschen überprüft und als ungültig befunden hat.

Jetzt kopieren wir die neue crl.pem an eine für OpenVPN lesbare Stelle.

cp /etc/openvpn/easy-rsa/keys/crl.pem /etc/openvpn/


Und sagen OpenVPN das es alle aktiven Verbindungen trennen soll. Dies sollte vorher angekündigt sein, da wirklich jede VPN Verbindung gekappt wird.

pkill -SIGHUP openvpn


Ich hoffe die Kurzanleitung konnte helfen OpenVPN aufzusetzen und einzurichten. Für Kommentare, Anregungen und Kritik bin ich natürlich dankbar.

OpenVPN Anleitung: Teil 1, Teil 2, Teil 3, Teil 4, Teil 5

Kategorienlinux, windows Tags: ,
  1. Katak
    9. April 2012, 14:28 | #1
    Antwort | Zitat

    Danke für den kurzen Beitrag. Soetwas habe ich gesucht.
    Jedoch hast du eine entscheidende Sache leider vergessen zu erwähnen: In die Server- Config muss natürlich ein Verweis auf die crl.pem- Datei verzeichnet sein.
    “crl-verify crl.pem”

    Nebenbei hatte ich bei mir, Debian squeeze amd64, zuerst noch einen Bug mit der, von mir unbearbeiteten, openssl.cnf- Datei. Dieser wird u.a. auch hier mit einer möglichen Lösung gelistet:
    https://bugs.launchpad.net/ubuntu/+source/openvpn/+bug/231199

    Vielen Dank.

  2. Sven Bachmann
    10. April 2012, 21:24 | #2
    Antwort | Zitat

    Hallo Katak, du hast leider nur den letzten Artikel der 5-teiligen Serie gelesen. In Artikel [OpenVPN] Teil 1: Server Konfiguration wird crl.pem mit in die Konfiguration eingebunden.

    Ich habe jetzt jeden der 5 Artikel am Ende durch eine Link-Liste für den schnellen Zugriff auf die anderen OpenVPN-Artikel erweitert.

    Danke für das Feedback :-)

  1. 10. April 2012, 21:33 | #1
    mcBachmann.de TechBlog » [OpenVPN] Teil 2: Anlegen der Zertifikate und Schlüssel für den Server
  2. 10. April 2012, 21:34 | #2
    mcBachmann.de TechBlog » [OpenVPN] Teil 3: Anlegen eines Clients