В easy rsa отозвать сертификат безопасности можно внеся его в специальный список, который затем копируется на сервер с OpenVPN. easy rsa применяется чаще всего именно с ПО для организации защищенного соединения по небезопасной сети (про easy-rsa).
Как через easy rsa отозвать сертификат
Работа OpenVPN осуществляется при помощи сертификатов: сервера и клиента.
Запросы на сертификаты могут генерироваться на разных машинах, но подписываются они всегда приватным ключом CA.
CA с OpenVPN могут размещаться на одной машине или на разных. При условии высоких требований к безопасности сервер с CA должен быть отдельной машиной, отключенной от сети.
На сервере с CA сертификат отзывается так:
./easyrsa revoke client
Затем нужно подтвердить отзыв введя yes
Предварительно следует перейти в ~/ca/ или другую директорию, указанную при создании CA
Чтобы сообщить OpenVPN о том, что сертификат отозван нужен CRL или certificate revocation list.
./easyrsa gen-crl
В результате будет создан файл crl.pem, он перемещается на съемном носителе (в идеале) или при помощи scp на сервер OpenVPN в /etc/openvpn/
В /etc/openvpn/server.conf добавляется опция, которая будет сообщать о необходимости проверять наличие CRL.
echo 'crl-verify crl.pem' >> /etc/openvpn/server.conf
Перезапускаем инстанс OpenVPN сервера
systemctl restart openvpn@server
С другими клиентами процесс можно повторять перезаписывая файл crl.pem