Hace un tiempo escribimos un artículo sobre cómo renovar un certificado en OpenVPN. Desde entonces, OpenVPN pasó a un sistema nuevo de gestión de certificados: Easy RSA 3 (desde la versión de OpenVPN de 2.4 en adelante ). Así que escribimos cómo configurar este programa con el nuevo sistema.
Pero nos ha pedido algún compañero, cuando lo ha tenido que hacer en un cliente, e incluso algún lector, que actualizáramos el artículo de revocación de certificados para Easy RSA 3, porque cambia ligeramente. Así que aquí os lo dejo.
Cómo revocar un certificado con Easy RSA 3.
Imaginemos que queremos recovar el certificado del usuario jose.
Tenemos que ir al directorio dónde está Easy RSA y ejecutamos el fichero EasyRSA-Start.bat
cd C:\Program Files\OpenVPN\easy-rsa
EasyRSA-Start.bat
Nota: escribimos los comandos con ./, funcionan sin ./)
Si queremos comprobar los certificados que tenemos:
./easyrsa show-cert client
Si queremos revocar el certificado del usuario jose
easyrsa revoke jose
Y escribimos yes. Sale algo como esto:
Como veis, al final pone un aviso para usar gen-crl. Lo hacemos
easyrsa gen-crl
Veréis que se va a generar un fichero crl..pem. Este fichero hay que incluirlo en la configuración de OpenVPN para que, a partir de ahora, todas las conexiones comprueben el certificado con este crl.pem. Si está ahí, lo rechazará.
Añade al fichero de configuración de tu servidor de OpenVPN, normalmente en C:\Program Files\OpenVPN\config o en C:\Program Files\OpenVPN\config-auto, debajo de “tls-auth ta.key 0 # This file is secret” la siguiente línea:
crl-verify "C:\\Program Files\\OpenVPN\\easy-rsa\\pki\\crl.pem"
Ahora sólo hace falta reiniciar OpenVPN en el servidor, y probar, porque ya debería estar todo.
Os recomendamos los siguientes productos relacionados con la informática: