Здесь пойдёт речь о том, как запретить подключаться к серверу с определённым сертификатом. Сервер уже настроен, все основные настройки сделаны, сертификаты клиентам розданы.
Идём в папку easy-rsa и пробуем отозвать сертификат
cd /etc/openvpn/easy-rsa/2.0 source ./vars sh ./revoke-full client1
Если всё хорошо, то должна появится такая строка
"Revoking Certificate ... Data Base Updated"
Но при проверке оказывается, что сертификат как работал, так и работает. Проверим файл конфигурации openvpn.conf, интересует параметр crl-verify Такого параметра нет — добавляем его и указываем местоположение свеже созданного файла crl.pem
mcedit /etc/openvpn/openvpn.conf # добавляем строчку crl-verify /etc/openvpn/easy-rsa/2.0/crl.pem
После этого меняем права на файл crl.pem
chmod 644 /etc/openvpn/easy-rsa/2.0/crl.pem
Перезапускаем сервис
service openvpn restart
Чтобы добавить новый сертификат
cd /etc/openvpn/easy-rsa/2.0/ source ./vars ./build-key clientNEW