OpenVPN是和我們常用的PPTP VPN,，是目前兩種最為常見(jiàn)的VPN方式,，和PPTP VPN不同的是，OpenVPN需要通過(guò)證書(shū)來(lái)授權(quán)客戶(hù)端,，客戶(hù)端也必須通過(guò)有效的證書(shū),，才能通過(guò)服務(wù)端的認(rèn)證，并建立VPN連接,。這樣一 來(lái),，OpenVPN的管理方式也和PPTP VPN有所不同，PPTN VPN可以直接對(duì)客戶(hù)端帳戶(hù)進(jìn)行管理,，而OpenVPN是通過(guò)客戶(hù)端證書(shū)來(lái)實(shí)現(xiàn)管理,。此文介紹OpenVPN中常用的對(duì)客戶(hù)端證書(shū)管理的兩種方法。
1.證書(shū)有效期管理

默認(rèn)的OpenVPN配置,，客戶(hù)端證書(shū)有效期是10年,。如何自定義客戶(hù)端證書(shū)的時(shí)間呢？其實(shí)比較簡(jiǎn)單,，編輯vars文件,，找到export KEY_EXPIRE=3650這一行，把默認(rèn)的3650,，改為你想設(shè)置的天數(shù)即可,。編輯后保存，運(yùn)行一次vars,，設(shè)置好環(huán)境變量,，再用build- key生成客戶(hù)端證書(shū)，即可,。這樣一來(lái),，客戶(hù)端證書(shū)的有效期，就是你所設(shè)置的有效期了,。
2. 客戶(hù)端證書(shū)的吊銷(xiāo)

和PPTP VPN不一樣,，PPTP VPN直接刪除客戶(hù)端賬號(hào),，就可以了。在OpenVPN中,，是通過(guò)revoke操作,，吊銷(xiāo)客戶(hù)端證書(shū)，來(lái)實(shí)現(xiàn)禁止客戶(hù)端連接OpenVPN的,。
具體的方法如下：

#進(jìn)入OpenVPN配置文件所在目錄
#執(zhí)行vars,，初始化環(huán)境
. vars
#使用revoke-full命令，吊銷(xiāo)客戶(hù)端證書(shū)
./revoke-full clientName
#clientName是被吊銷(xiāo)的客戶(hù)端證書(shū)名稱(chēng)

命令執(zhí)行后,，我們能在keys目錄中找到一個(gè)文件,，名叫：crl.pem ，這個(gè)文件中包含了吊銷(xiāo)證書(shū)的名單,。然后,，在服務(wù)端配置文件中，加入如下一行：

crl-verify crl.pem

最后一步,，重啟OpenVPN服務(wù),，即可