[OpenVPN] Teil 5: Client Zertifikat zurückziehen

Update: Verlinkung auf weitere Anleitungsteile am Ende hinzugefügt.

Hier nun der letzte Teil. Weil es ja nun doch vorkommen kann, das zum Beispiel ein Mitarbeiter die Firma wechselt, will man auch in der Lage sein, dessen OpenVPN Zugang zu sperren. Wie das geht zeige ich jetzt.


Client Zertifikat zurückziehen


Wieder geht es zuerst mit der Standard-Prozedur los: dem einlesen der Variablen.

cd /etc/openvpn/easy-rsa
source vars

Anschließend wird das Zertifikat invalidiert.

./revoke-full nutzer1
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Revoking Certificate 02.
Data Base Updated
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
basv.crt: /C=DE/ST=Saxony/L=Chemnitz/O=Knuddelbunte Welt Organisation/CN=nutzer1/emailAddress=nutzer1@hi.n.de
error 23 at 0 depth lookup:certificate revoked

Der error 23 am Ende ist vollkommen normal und gewollt, denn er sagt aus das OpenVPN das Zertifikat nach dem Löschen überprüft und als ungültig befunden hat.

Jetzt kopieren wir die neue crl.pem an eine für OpenVPN lesbare Stelle.

cp /etc/openvpn/easy-rsa/keys/crl.pem /etc/openvpn/

Und sagen OpenVPN das es alle aktiven Verbindungen trennen soll. Dies sollte vorher angekündigt sein, da wirklich jede VPN Verbindung gekappt wird.

pkill -SIGHUP openvpn

Ich hoffe die Kurzanleitung konnte helfen OpenVPN aufzusetzen und einzurichten. Für Kommentare, Anregungen und Kritik bin ich natürlich dankbar.

OpenVPN Anleitung: Teil 1, Teil 2, Teil 3, Teil 4, Teil 5

8 Kommentare

  1. Danke für den kurzen Beitrag. Soetwas habe ich gesucht.
    Jedoch hast du eine entscheidende Sache leider vergessen zu erwähnen: In die Server- Config muss natürlich ein Verweis auf die crl.pem- Datei verzeichnet sein.
    „crl-verify crl.pem“

    Nebenbei hatte ich bei mir, Debian squeeze amd64, zuerst noch einen Bug mit der, von mir unbearbeiteten, openssl.cnf- Datei. Dieser wird u.a. auch hier mit einer möglichen Lösung gelistet:
    https://bugs.launchpad.net/ubuntu/+source/openvpn/+bug/231199

    Vielen Dank.

  2. Hallo,
    sämtliche Anleitungen im Internet beschäftigen sich damit wie „EIN“ user gesperrt wird.
    Wie verfährt man, wenn man „mehrere“ User sperren möchte, und das evtkl. über Wochen verteilt?

    ein :/revokefull überschreibt doch das das zuvor in der crl.pem stand, oder nicht?

  3. Hallo Marko,

    dass klingt als ob du eine Art Gruppensperre willst, was voraussetzt, dass die Nutzer vorher in die Gruppen eingeordnet wurden. Dazu würde es wahrscheinlich reichen, wenn du dir selbst ein Gruppenmanagement schreibst und zum Zeitpunkt X alle abgelaufenen Nutzer mit dem Revoke durchiterierst.

    Grüße
    Sven

  4. Hallo Jan, ich konnte dahingehend kein Feature finden. Eventuell kannst du über den Parameter auth-user-pass ein Script starten, welches die IP abgleicht (falls diese mit in den Umgebungsvariablen steht).

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.