pfSense(OpenVPN)吊销用户证书

使用本地CA和用户证书配置的pfSense OpenVPN,如果有人要离开公司,或证书被泄露,我们应该怎么做?简单地删除用户帐户或证书显然不是一个好方法,使用证书吊销列表可以使事情变的简单。

假定两个用户:Zeljkomedic和zeljkomedicNEW

我们把用户zeljkomedic的证书进行吊销,然后测试它的帐号是否依然有效。

zeljkomedicNEW是我们用来取代zeljkomedic的新用户

第一步 – 启用证书吊销

登录到pfSense的 web配置界面

进入系统-证书管理

然后选择证书吊销,选择添加或导入CRL

创建新的吊销列表

  • 方法:创建内部证书吊销列表
  • 描述性名称:输入你需要识别的内容
  • 证书颁发机构:在该pfSense上已创建的CA
  • 有效期(天):输入需要的值或保留默认值
  • 序列号:保留默认值
  • 单击保存

保存后,就创建了名为BWRevocationList的证书吊销列表。

现在,让我们将用户证书添加到列表中

导航到系统- 证书管理-证书吊销

选择“编辑CRL”

这里我们还没有任何吊销的证书,下面我们将选择一个要吊销的证书。

在证书下找到ZeljkoMedic证书, 并选择吊销的原因,然后单击添加。

点击添加证书后,我们又回到了证书吊销的主页上,并在BWRevocationList上有一个证书。

再次单击“编辑CRL”,可以看到用户证书ZeljkoMedic已被吊销。

导航到系统-证书管理-证书,可以看到用户证书ZeljkoMedic已被吊销。

用户证书已被吊销,但操作还没有结束。

第二步,将吊销列表添加到VPN服务器

导航到VPN-OpenVPN- 服务器,单击右侧的编辑图标。

找到加密设置-对等证书吊销列表,选择你的吊销列表, 在这里是BWRevocationList ,完成以后,单击底部的保存按钮。

第三步,测试连接

下来我们来使用证书zeljkomedic进行VPN连接,可以看到连接不成功。

注意:

如果你从吊销列表中删除证书(并且证书仍在证书数据库中),用户使用原有证书仍将可以继续连接。从pfSense中删除用户和证书不会禁止他访问VPN, 必须启用并配置吊销列表来禁用VPN连接。

发表评论

电子邮件地址不会被公开。 必填项已用*标注