使用本地CA和用户证书配置的pfSense OpenVPN，如果有人要离开公司，或证书被泄露，我们应该怎么做？简单地删除用户帐户或证书显然不是一个好方法，使用证书吊销列表可以使事情变的简单。

假定两个用户：Zeljkomedic和zeljkomedicNEW

我们把用户zeljkomedic的证书进行吊销，然后测试它的帐号是否依然有效。

zeljkomedicNEW是我们用来取代zeljkomedic的新用户

第一步 – 启用证书吊销

登录到pfSense的 web配置界面

进入系统-证书管理

然后选择证书吊销，选择添加或导入CRL

创建新的吊销列表

• 方法：创建内部证书吊销列表
• 描述性名称：输入你需要识别的内容
• 证书颁发机构：在该pfSense上已创建的CA
• 有效期（天）：输入需要的值或保留默认值
• 序列号：保留默认值
• 单击保存

保存后，就创建了名为BWRevocationList的证书吊销列表。

现在，让我们将用户证书添加到列表中

导航到系统- 证书管理-证书吊销

选择“编辑CRL”

这里我们还没有任何吊销的证书，下面我们将选择一个要吊销的证书。

在证书下找到ZeljkoMedic证书， 并选择吊销的原因，然后单击添加。

点击添加证书后，我们又回到了证书吊销的主页上，并在BWRevocationList上有一个证书。

再次单击“编辑CRL”，可以看到用户证书ZeljkoMedic已被吊销。

导航到系统-证书管理-证书，可以看到用户证书ZeljkoMedic已被吊销。

用户证书已被吊销，但操作还没有结束。

第二步，将吊销列表添加到VPN服务器

导航到VPN-OpenVPN- 服务器，单击右侧的编辑图标。

找到加密设置-对等证书吊销列表，选择你的吊销列表， 在这里是BWRevocationList ，完成以后，单击底部的保存按钮。

第三步，测试连接

下来我们来使用证书zeljkomedic进行VPN连接，可以看到连接不成功。

注意：

如果你从吊销列表中删除证书（并且证书仍在证书数据库中），用户使用原有证书仍将可以继续连接。从pfSense中删除用户和证书不会禁止他访问VPN， 必须启用并配置吊销列表来禁用VPN连接。