Eine Authentifizierung zusätzlich mit Zertifikaten bietet einen weiteren Sicherheitsfaktor, sofern man bei Verlust diese zurückzieht und anhand einer Certificate Revokation List (CRL) ausgewertet.

Um ein Zertifikat bei openVPN zurückzuziehen kann man wie folgt vorgehen:

cd /etc/openvpn/easy-rsa/
. ./vars
. ./revoke-full NUTZER

Die Dateien des NUTZER (.crt, .key, .csr) im Verzeichnis keys kann man dann ebenfalls löschen.

Die CRL muss nun auch an die richtige Stelle für den openVPN Server kopiert werden. Über den Eintrag „crl-verify keys/crl.pem“ in der openvpn.conf wird diese CRL dazu verwendet zurückgezogene Zertifikate zu blockieren.

cp -a keys/crl.pem /etc/openvpn/keys/

Anschauen kann man sich die CRL am einfachsten mit folgendem Befehl:

openssl crl -in keys/crl.pem -text

Sollte es den Benutzer ebenfalls nicht mehr geben, so sollte man natürlich auch den Benutzer löschen.

userdel -f -r NUTZER