Kommt es zum Verlust des persönlichen Zertifikats samt Schlüssel und schlimmstenfalls auch noch der Zugangsdaten für OpenVPN, sollten die Zugangsdaten, ggf. der TLS Key als auch das oder die Benutzerzertifikat/e ausgetauscht werden.

Benutzername und Kennwort lassen sich leicht im “User Manager” ändern. Der “TLS Key” kann für den betreffenden OpenVPN-Server neu generiert werden. Die Zertifikate können allerdings nicht einfach gelöscht werden, vielmehr muss im “Certificate Manager” eine Certificate Revocation List (CRL, Zertifikatswiderrufsliste/-sperrliste) angelegt und die betreffenden Zertifikate dort hinzugefügt werden. Anschließend kann man für die betroffenen Benutzer neue Zertifikate ausstellen und die Bindung zu den widerrufenen Zertifikaten entfernen.

CRL anlegen

  • Im Web-Interface der pfSense auf “System – Cert. Manager” klicken.
  • Zu “Certifikate Revocation” wechseln.
  • Auf “Add or Import CRL” klicken.
  • Die Voreinstellung belassen oder ggf. den eigenen Vorstellungen entsprechend anpassen und auf “Save” klicken.

Zertifikate widerrufen/sperren

  • Die zuvor angelegte CRL bearbeiten.
  • Das betreffende Zertifikate auswählen, ggf. den Grund für den Widerruf auswählen und auf “Add” klicken.

CRL in OpenVPN einbinden

Damit die CRL vom OpenVPN-Server berücksichtigt wird, muss diese eingebunden werden.

  • Auf “VPN – OpenVPN” klicken.
  • Unter “Servers” den gewünschten OpenVPN-Server bearbeiten.
  • Bei “Peer Certificate Revocation list” die zuvor erstellte CRL auswählen.
  • Auf “Save” klicken.

Quelle:

IT Blog – How to revocate user certificate on pFSense (OpenVPN)