From e6bb017b17cb3b872c23f7137312cf0f3583a382 Mon Sep 17 00:00:00 2001
From: jdubois <jdubois+gitit@evolix.fr>
Date: Fri, 10 Jul 2020 11:59:03 +0200
Subject: [PATCH] =?UTF-8?q?R=C3=A9vocation=20de=20certificats?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 HowtoOpenVPN.md | 23 +++++++++++++++++++++++
 1 file changed, 23 insertions(+)

diff --git a/HowtoOpenVPN.md b/HowtoOpenVPN.md
index 60e99c59..6e7afdac 100644
--- a/HowtoOpenVPN.md
+++ b/HowtoOpenVPN.md
@@ -284,6 +284,29 @@ Il faut le révoquer, puis en recréer un :
 
 Si c'est le certificat du serveur OpenVPN, il faut en plus modifier la configuration puis relancer le démon.
 
+### Révoquer un certificat avec shellpki
+
+Il faut regénérer une CRL après chaque révocation de certificat :
+
+~~~
+# cd /etc/openvpn/ssl
+# sh shellpki.sh revoke
+# sh shellpki.sh crl
+~~~
+
+Le fichier `/etc/openvpn/ssl/crl.pem` est alors créé. La configuration d'OpenVPN doit être ajustée pour vérifier la CRL :
+
+~~~
+crl-verify /etc/openvpn/ssl/crl.pem
+~~~
+
+#### Vérifier les certificats révoqués
+
+~~~
+# openssl crl -inform PEM -text -noout -in /etc/openvpn/ssl/crl.pem
+~~~
+
+L'association entre le numéro de série indiqué et le CN du certificat correspondant peut être faite à l'aide du fichier `/etc/openvpn/ssl/ca/index.txt`
 
 ### Client sous Linux