Cómo revocar un certificado de OpenVPN.

En ocasiones necesitamos revocar certificados de OpenVPN. Por ejemplo cuando se va un empleado de la empresa, al usuario se le ha olvidado la contraseña, o te han robado el ordenador con el certificado. Hoy os enseñamos a hacerlo.

Revocar un certificado de OpenVPN.

Vamos a enumerar los pasos:

  • Ve a la carpeta easy-rsa de OpenVPN, que suele estar en C:\Program Files\OpenVPN\easy-rsa .
  • Escribe vars y dale al intro.
  • Escribe luego
revoke-full usuario
  • Salen unos mensajes como
Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate 04.
Data Base Updated
Using configuration from /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
usuario.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=usuario/emailAddress=me@myhost.mydomain
error 23 at 0 depth lookup:certificate revoked
  • No te preocupes por el error 23, significa que, al comprobar el certificado, éste se ha rechazado. Así que es correcto. El certificado ya no es válido.
  • Se crea en la subcarpeta keys, un fichero llamado crl.pem. Es una lista de certificados rechazados que el servidor necesita para poder rechazarlos. Tienes que copiarlo a alguna carpeta en la que tenga permisos y pueda acceder el programa de OpenVPN. Si no sabes dónde, puedes poner permisos a la carpeta.
  • Tienes que añadir la siguiente línea al fichero de configuración de OpenVPN, para que lea esa lista de certificados rechazados.
crl-verify "\\rutadelfichero\\crl.pem"
  • Después arranca OpenVPN de nuevo para ver si está ok, o si tienes que ver algo en el log para corregir.

Más información aquí.