Révocation de certificats

2020-07-10 11:59:03 +02:00 · 2020-07-10 11:59:03 +02:00 · e6bb017b17
parent 50d353db42
commit e6bb017b17
1 changed files with 23 additions and 0 deletions
--- a/HowtoOpenVPN.md
+++ b/HowtoOpenVPN.md
@ -284,6 +284,29 @@ Il faut le révoquer, puis en recréer un :

 Si c'est le certificat du serveur OpenVPN, il faut en plus modifier la configuration puis relancer le démon.

+### Révoquer un certificat avec shellpki
+
+Il faut regénérer une CRL après chaque révocation de certificat :
+
+~~~
+# cd /etc/openvpn/ssl
+# sh shellpki.sh revoke
+# sh shellpki.sh crl
+~~~
+
+Le fichier `/etc/openvpn/ssl/crl.pem` est alors créé. La configuration d'OpenVPN doit être ajustée pour vérifier la CRL :
+
+~~~
+crl-verify /etc/openvpn/ssl/crl.pem
+~~~
+
+#### Vérifier les certificats révoqués
+
+~~~
+# openssl crl -inform PEM -text -noout -in /etc/openvpn/ssl/crl.pem
+~~~
+
+L'association entre le numéro de série indiqué et le CN du certificat correspondant peut être faite à l'aide du fichier `/etc/openvpn/ssl/ca/index.txt`

 ### Client sous Linux