下午公司vpn客服群突然炸锅了,各种@我,仔细一看,vpn全部都链接不上了,当发现问题第一时间看日志:如图
请注意日志中问题点:VERIFY ERROR: depth=0, error=CRL has expired: CN=admin
随后通过google下相关信息,但大多数信息都是不准确,或者不相符的,结果大致如下:
>
1) 为客户端与服务器时间不一致,检查后发现时间一致,没有问题
2) 随后怀疑可能是证书过期,检查CA、和Server证书后并没有过期
3) 最后定位到 CRL证书过期问题
关于CRL证书似乎已经过期; 我该怎么办?
通过日志的error=CRL has expired,针对easyrsa配置文件easy-rsa/3/easyrsa,找到如下内容
set_var EASYRSA_CA_EXPIRE 3650
set_var EASYRSA_CERT_EXPIRE 3650
set_var EASYRSA_CRL_DAYS 180 #CRL过期时间,默认是180天
到这里有些确定是EASYRSA_CRL_DAYS过期导致VPN无法连接,随即修改,展开修复之路。
官网文档:https://community.openvpn.net/openvpn/wiki/CertificateRevocationListExpired
解决方法:
2种方法
1) OpenVPN 2.4新证书撤销列表方法
2) 注销掉vpn配置文件的crl证书选项
两种方法自己去衡量,自己选择
法1:
执行命令,重新生成CRL
cd /vpn的根目录
./easyrsa gen-crl #使用EasyRSA新的CRL可以生成
法2 :
[root@vpn openvpn]# vim /etc/openvpn/server.conf #可以ps看到配置文件位置
验证
生成后重启openvpn server
到此是我的处理方法与过程,如果您有更好的,请在下面留言,如果还有关注,请您进入QQ群,我们一起学习讨论,期待您的加入。。。。
- QQ精品交流群
-
- 微信公众号
-
