En ocasiones necesitamos revocar certificados de OpenVPN. Por ejemplo cuando se va un empleado de la empresa, al usuario se le ha olvidado la contraseña, o te han robado el ordenador con el certificado. Hoy os enseñamos a hacerlo.
Revocar un certificado de OpenVPN.
Vamos a enumerar los pasos:
- Ve a la carpeta easy-rsa de OpenVPN, que suele estar en C:\Program Files\OpenVPN\easy-rsa .
- Escribe vars y dale al intro.
- Escribe luego
revoke-full usuario
- Salen unos mensajes como
Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" Revoking Certificate 04. Data Base Updated Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf DEBUG[load_index]: unique_subject = "yes" usuario.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=usuario/emailAddress=me@myhost.mydomain error 23 at 0 depth lookup:certificate revoked
- No te preocupes por el error 23, significa que, al comprobar el certificado, éste se ha rechazado. Así que es correcto. El certificado ya no es válido.
- Se crea en la subcarpeta keys, un fichero llamado crl.pem. Es una lista de certificados rechazados que el servidor necesita para poder rechazarlos. Tienes que copiarlo a alguna carpeta en la que tenga permisos y pueda acceder el programa de OpenVPN. Si no sabes dónde, puedes poner permisos a la carpeta.
- Tienes que añadir la siguiente línea al fichero de configuración de OpenVPN, para que lea esa lista de certificados rechazados.
crl-verify "\\rutadelfichero\\crl.pem"
- Después arranca OpenVPN de nuevo para ver si está ok, o si tienes que ver algo en el log para corregir.
Más información aquí.
Hola buenas, ya que este tutorial es algo antiguo, me gustaria preguntar si también sirve para EasyRSA3. Gracias!
Casi…dame 2 días y te hago uno más actualizado (ahora es más fácil). Te lo pongo en este comentario tb.
Ya lo tienes…tardé un poco más: https://www.smythsys.es/16811/revocar-un-certificado-de-easy-rsa-3-como-en-openvpn/