Управление сертификатами OpenVPN на CentOS 6

Здесь пойдёт речь о том, как запретить подключаться к серверу с определённым сертификатом. Сервер уже настроен, все основные настройки сделаны, сертификаты клиентам розданы.

Идём в папку easy-rsa и пробуем отозвать сертификат

cd /etc/openvpn/easy-rsa/2.0
source ./vars
sh ./revoke-full client1

Если всё хорошо, то должна появится такая строка

"Revoking Certificate ... Data Base Updated"

Но при проверке оказывается, что сертификат как работал, так и работает. Проверим файл конфигурации openvpn.conf, интересует параметр crl-verify Такого параметра нет — добавляем его и указываем местоположение свеже созданного файла crl.pem

mcedit /etc/openvpn/openvpn.conf

# добавляем строчку
crl-verify /etc/openvpn/easy-rsa/2.0/crl.pem

После этого меняем права на файл crl.pem

chmod 644 /etc/openvpn/easy-rsa/2.0/crl.pem

Перезапускаем сервис

service openvpn restart

Чтобы добавить новый сертификат

cd /etc/openvpn/easy-rsa/2.0/
source ./vars
./build-key clientNEW