禁用指定的OpenVPN客户端用户证书

更新:2017-10-28

目前很多VPN都挂掉了,请大家移步新的教程:

链接地址:windows/mac/ios/android设置使用SS/SSR教程

在阅读本文之前,如果你尚未下载安装OpenVPN,你可以点击查看OpenVPN 2.3.0 下载、安装、配置及使用详解

在「服务器<->多客户端」模式的OpenVPN网络环境中,有时候我们需要禁用(吊销)某个OpenVPN客户端的证书。例如,公司的某个人员离职,或者我们的某些客户端计算机由于防护不当致使OpenVPN客户端证书遗失或被他人窃取,此时我们就需要注销该OpenVPN客户端证书,以防止给我们带来潜在的不必要的损失。

禁用指定的OpenVPN客户端证书非常简单,我们只需要在OpenVPN服务器端计算机上打开DOS命令窗口,进入%OpenVPN安装目录%easy-rsa目录(笔者的安装目录为D:OpenVPN),然后执行vars命令,再输入revoke-full 客户端名称,即可注销掉指定的OpenVPN客户端证书。如下图所示,我们注销了Common Name为test_revoke_client的客户端证书。

OpenVPN禁用指定客户端

执行注销命令成功后,将会在easy-rsa目录的keys文件夹下,生成几个文件,其中有一个crl.pem文件。crl就是英文certificate revocation list(作废证书列表)的缩写,当然,crl.pem存储的就是被注销的证书列表。我们每禁用一个客户端证书,OpenVPN就会向该文件中追加一个该客户端的加密标识。

OpenVPN crl.pem文件

仅仅这样还是不够的,我们还需要在配置文件中告诉OpenVPN服务器,叫它以后与客户端连接的时候,记得通过crl.pem文件验证该客户端的证书是否已经被注销。因此,我们需要在服务器端的配置文件server.ovpn的最后一行加上

crl-verify "../easy-rsa/keys/crl.pem"

开启crl-verify

然后,我们需要重新启动服务器端的OpenVPN Service服务,这样就将名为「test_revoke_client」的OpenVPN客户端禁用掉了。

在禁用之前,我们使用该客户端连接,会出现表示连接成功的绿色图标。

OpenVPN_revoke_4

禁用之后,我们再次使用该客户端连接,我们会发现右下角的图标将会处于表示「连接不成功」的黄色状态。

点赞

发表评论