Kommt es zum Verlust des persönlichen Zertifikats samt Schlüssel und schlimmstenfalls auch noch der Zugangsdaten für OpenVPN, sollten die Zugangsdaten, ggf. der TLS Key als auch das oder die Benutzerzertifikat/e ausgetauscht werden.
Benutzername und Kennwort lassen sich leicht im „User Manager“ ändern. Der „TLS Key“ kann für den betreffenden OpenVPN-Server neu generiert werden. Die Zertifikate können allerdings nicht einfach gelöscht werden, vielmehr muss im „Certificate Manager“ eine Certificate Revocation List (CRL, Zertifikatswiderrufsliste/-sperrliste) angelegt und die betreffenden Zertifikate dort hinzugefügt werden. Anschließend kann man für die betroffenen Benutzer neue Zertifikate ausstellen und die Bindung zu den widerrufenen Zertifikaten entfernen.
CRL anlegen
- Im Web-Interface der pfSense auf „System – Cert. Manager“ klicken.
- Zu „Certifikate Revocation“ wechseln.
- Auf „Add or Import CRL“ klicken.
- Die Voreinstellung belassen oder ggf. den eigenen Vorstellungen entsprechend anpassen und auf „Save“ klicken.
Zertifikate widerrufen/sperren
- Die zuvor angelegte CRL bearbeiten.
- Das betreffende Zertifikate auswählen, ggf. den Grund für den Widerruf auswählen und auf „Add“ klicken.
CRL in OpenVPN einbinden
Damit die CRL vom OpenVPN-Server berücksichtigt wird, muss diese eingebunden werden.
- Auf „VPN – OpenVPN“ klicken.
- Unter „Servers“ den gewünschten OpenVPN-Server bearbeiten.
- Bei „Peer Certificate Revocation list“ die zuvor erstellte CRL auswählen.
- Auf „Save“ klicken.
Quelle:
IT Blog – How to revocate user certificate on pFSense (OpenVPN)