Kommt es zum Verlust des persönlichen Zertifikats samt Schlüssel und schlimmstenfalls auch noch der Zugangsdaten für OpenVPN, sollten die Zugangsdaten, ggf. der TLS Key als auch das oder die Benutzerzertifikat/e ausgetauscht werden.

Benutzername und Kennwort lassen sich leicht im “User Manager” ändern. Der “TLS Key” kann für den betreffenden OpenVPN-Server neu generiert werden. Die Zertifikate können allerdings nicht einfach gelöscht werden, vielmehr muss im “Certificate Manager” eine Certificate Revocation List (CRL, Zertifikatswiderrufsliste/-sperrliste) angelegt und die betreffenden Zertifikate dort hinzugefügt werden. Anschließend kann man für die betroffenen Benutzer neue Zertifikate ausstellen und die Bindung zu den widerrufenen Zertifikaten entfernen.

CRL anlegen

• Im Web-Interface der pfSense auf “System – Cert. Manager” klicken.
• Zu “Certifikate Revocation” wechseln.
• Auf “Add or Import CRL” klicken.
• Die Voreinstellung belassen oder ggf. den eigenen Vorstellungen entsprechend anpassen und auf “Save” klicken.

Zertifikate widerrufen/sperren

• Die zuvor angelegte CRL bearbeiten.
• Das betreffende Zertifikate auswählen, ggf. den Grund für den Widerruf auswählen und auf “Add” klicken.

CRL in OpenVPN einbinden

Damit die CRL vom OpenVPN-Server berücksichtigt wird, muss diese eingebunden werden.

• Auf “VPN – OpenVPN” klicken.
• Unter “Servers” den gewünschten OpenVPN-Server bearbeiten.
• Bei “Peer Certificate Revocation list” die zuvor erstellte CRL auswählen.
• Auf “Save” klicken.

Quelle:

IT Blog – How to revocate user certificate on pFSense (OpenVPN)