OpenVPN用户证书

Question

我很难理解OpenVPN和EasyRsa的结合。

我读过本指令

我不明白客户端密钥是如何签名和撤销的。

当我在CA服务器上注册用户证书和密钥时，openVPN服务器确定用户已经在同一台CA服务器上签名了证书和密钥，并允许用户连接？

类似于具有可信证书服务器的https (例如LetsEncrypt)

对吗？

如果我想阻止用户访问openVPN，我需要撤销CA服务器上的证书。

但是openVPN服务器如何理解这个用户没有更多的访问openVPN的权限呢？只有在额外证书撤销列表的帮助下？

它是用easyrsa gen-crl生成的，并从CA服务器同步/复制到openVPN服务器？

但是，如果用户证书过期了，那么openVPN服务器就不会接受连接了吗？

我说的对吗？

Answer 1

若要撤消证书，请创建证书列表，并告知OpenVPN服务器，当客户端进入时，需要使用此列表对它们进行验证。

使用"./revoke-full client_name“命令，可以将禁止的客户机添加到crl.pem文件中。然后，将该文件复制到服务器配置目录。为了让服务器在客户端输入时检查这个文件，它需要在配置文件中输入“crl-验证crl.pem”行。注意！如果此字符串出现在配置文件中，但该文件不存在，服务器将停止允许所有客户端！