From a122173b637e4a218d686a9a000988fb6c692377 Mon Sep 17 00:00:00 2001
From: Jan Philipp Timme <jan.philipp@timme.it>
Date: Wed, 19 Sep 2018 13:12:41 +0200
Subject: [PATCH] Add note about how to refresh CRL

---
 SRV-DOC-Inhalt.tex            | 11 ++++++++++-
 openvpn-config/vpnserver.conf |  3 +++
 2 files changed, 13 insertions(+), 1 deletion(-)

diff --git a/SRV-DOC-Inhalt.tex b/SRV-DOC-Inhalt.tex
index 75f7edb..c9a6d88 100644
--- a/SRV-DOC-Inhalt.tex
+++ b/SRV-DOC-Inhalt.tex
@@ -241,10 +241,19 @@ Nun wird OpenVPN installiert und konfiguriert.
 # apt-get install openvpn
 \end{lstlisting}
 
-Zertifikate beantragen und 
 
+Zertifikate beantragen und 
 Konfiguration einspielen
 
+CRL beschaffen
+curl http://vmvpnca.inform.hs-hannover.de/crl.pem > /etc/openvpn/vpnserver/crl.pem
+
+Cronjob via \texttt{crontab -e} erzeugen:
+\begin{lstlisting}
+15 2	* * *	bash -c 'curl http://vmvpnca.inform.hs-hannover.de/crl.pem > /etc/openvpn/vpnserver/crl.pem; systemctl restart openvpn@vpnserver.service'
+\end{lstlisting}
+Ein reload ist aufgrund der Abgabe von Berechtigungen nach dem Start nicht möglich.
+
 Nun wird der OpenVPN-Dienst aktiviert und gestartet.
 \begin{lstlisting}
 # systemctl enable openvpn@vpnserver.service
diff --git a/openvpn-config/vpnserver.conf b/openvpn-config/vpnserver.conf
index 26438f5..dbbfe3d 100644
--- a/openvpn-config/vpnserver.conf
+++ b/openvpn-config/vpnserver.conf
@@ -12,6 +12,9 @@ cert /etc/openvpn/vpnserver/aither.inform.hs-hannover.de.crt
 key /etc/openvpn/vpnserver/aither.inform.hs-hannover.de.key
 dh /etc/openvpn/vpnserver/dh.pem
 
+# Certificate revocation list
+crl-verify /etc/openvpn/vpnserver/crl.pem
+
 # Make sure the client presents a certificate with "client role"
 remote-cert-tls client