openvpn链接失败-crl证书吊销

2019年8月20日17:23:32 发表评论 257 views

下午公司vpn客服群突然炸锅了,各种@我,仔细一看,vpn全部都链接不上了,当发现问题第一时间看日志:如图
openvpn链接失败-crl证书吊销

请注意日志中问题点:VERIFY ERROR: depth=0, error=CRL has expired: CN=admin

随后通过google下相关信息,但大多数信息都是不准确,或者不相符的,结果大致如下:

>
1) 为客户端与服务器时间不一致,检查后发现时间一致,没有问题
2) 随后怀疑可能是证书过期,检查CA、和Server证书后并没有过期
3) 最后定位到 CRL证书过期问题
关于CRL证书似乎已经过期; 我该怎么办?
通过日志的 error=CRL has expired,针对easyrsa配置文件easy-rsa/3/easyrsa,找到如下内容

set_var EASYRSA_CA_EXPIRE       3650   
set_var EASYRSA_CERT_EXPIRE     3650
set_var EASYRSA_CRL_DAYS        180   #CRL过期时间,默认是180天

openvpn链接失败-crl证书吊销
到这里有些确定是EASYRSA_CRL_DAYS过期导致VPN无法连接,随即修改,展开修复之路。

官网文档:https://community.openvpn.net/openvpn/wiki/CertificateRevocationListExpired

解决方法:

2种方法
1) OpenVPN 2.4新证书撤销列表方法
2) 注销掉vpn配置文件的crl证书选项

两种方法自己去衡量,自己选择

法1:

执行命令,重新生成CRL

cd /vpn的根目录
./easyrsa gen-crl   #使用EasyRSA新的CRL可以生成

法2 :

[root@vpn openvpn]# vim /etc/openvpn/server.conf   #可以ps看到配置文件位置

openvpn链接失败-crl证书吊销

验证

生成后重启openvpn server
openvpn链接失败-crl证书吊销
openvpn链接失败-crl证书吊销

到此是我的处理方法与过程,如果您有更好的,请在下面留言,如果还有关注,请您进入QQ群,我们一起学习讨论,期待您的加入。。。。

  • QQ精品交流群
  • weinxin
  • 微信公众号
  • weinxin
admin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: