pfSense: Zertifikate für OpenVPN-Benutzer widerrufen

Kommt es zum Verlust des persönlichen Zertifikats samt Schlüssel und schlimmstenfalls auch noch der Zugangsdaten für OpenVPN, sollten die Zugangsdaten, ggf. der TLS Key als auch das oder die Benutzerzertifikat/e ausgetauscht werden.

Benutzername und Kennwort lassen sich leicht im „User Manager“ ändern. Der „TLS Key“ kann für den betreffenden OpenVPN-Server neu generiert werden. Die Zertifikate können allerdings nicht einfach gelöscht werden, vielmehr muss im „Certificate Manager“ eine Certificate Revocation List (CRL, Zertifikatswiderrufsliste/-sperrliste) angelegt und die betreffenden Zertifikate dort hinzugefügt werden. Anschließend kann man für die betroffenen Benutzer neue Zertifikate ausstellen und die Bindung zu den widerrufenen Zertifikaten entfernen.

CRL anlegen

  • Im Web-Interface der pfSense auf „System – Cert. Manager“ klicken.
  • Zu „Certifikate Revocation“ wechseln.
  • Auf „Add or Import CRL“ klicken.
  • Die Voreinstellung belassen oder ggf. den eigenen Vorstellungen entsprechend anpassen und auf „Save“ klicken.

Zertifikate widerrufen/sperren

  • Die zuvor angelegte CRL bearbeiten.
  • Das betreffende Zertifikate auswählen, ggf. den Grund für den Widerruf auswählen und auf „Add“ klicken.

CRL in OpenVPN einbinden

Damit die CRL vom OpenVPN-Server berücksichtigt wird, muss diese eingebunden werden.

  • Auf „VPN – OpenVPN“ klicken.
  • Unter „Servers“ den gewünschten OpenVPN-Server bearbeiten.
  • Bei „Peer Certificate Revocation list“ die zuvor erstellte CRL auswählen.
  • Auf „Save“ klicken.

Quelle:

IT Blog – How to revocate user certificate on pFSense (OpenVPN)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.