使用本地CA和用户证书配置的pfSense OpenVPN,如果有人要离开公司,或证书被泄露,我们应该怎么做?简单地删除用户帐户或证书显然不是一个好方法,使用证书吊销列表可以使事情变的简单。
假定两个用户:Zeljkomedic和zeljkomedicNEW
我们把用户zeljkomedic的证书进行吊销,然后测试它的帐号是否依然有效。
zeljkomedicNEW是我们用来取代zeljkomedic的新用户
第一步 – 启用证书吊销
登录到pfSense的 web配置界面
进入系统-证书管理
然后选择证书吊销,选择添加或导入CRL
创建新的吊销列表
- 方法:创建内部证书吊销列表
- 描述性名称:输入你需要识别的内容
- 证书颁发机构:在该pfSense上已创建的CA
- 有效期(天):输入需要的值或保留默认值
- 序列号:保留默认值
- 单击保存
保存后,就创建了名为BWRevocationList的证书吊销列表。
现在,让我们将用户证书添加到列表中
导航到系统- 证书管理-证书吊销
选择“编辑CRL”
这里我们还没有任何吊销的证书,下面我们将选择一个要吊销的证书。
在证书下找到ZeljkoMedic证书, 并选择吊销的原因,然后单击添加。
点击添加证书后,我们又回到了证书吊销的主页上,并在BWRevocationList上有一个证书。
再次单击“编辑CRL”,可以看到用户证书ZeljkoMedic已被吊销。
导航到系统-证书管理-证书,可以看到用户证书ZeljkoMedic已被吊销。
用户证书已被吊销,但操作还没有结束。
第二步,将吊销列表添加到VPN服务器
导航到VPN-OpenVPN- 服务器,单击右侧的编辑图标。
找到加密设置-对等证书吊销列表,选择你的吊销列表, 在这里是BWRevocationList ,完成以后,单击底部的保存按钮。
第三步,测试连接
下来我们来使用证书zeljkomedic进行VPN连接,可以看到连接不成功。
注意:
如果你从吊销列表中删除证书(并且证书仍在证书数据库中),用户使用原有证书仍将可以继续连接。从pfSense中删除用户和证书不会禁止他访问VPN, 必须启用并配置吊销列表来禁用VPN连接。
觉得内容不错?我要
