OpenVPN. Не подключаются удаленные клиенты. Failed to stat CRL file

Проблема

Для соединения в офис используем OpenVPN. Сегодня перестали подключаться удаленные клиенты. В логах openvpn.log ошибка

TLS: Initial packet from [AF_INET]93.77.154.197:1194, sid=83f44790 d53e7c24
WARNING: Failed to stat CRL file, not (re)loading CRL.
VERIFY ERROR: depth=0, error=CRL has expired: CN=berucha
OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed

Ключевая запись из всего обилия текста

Failed to stat CRL file, not (re)loading CRL
… error=CRL has expired

Решение

Смотрим, что известно о файле crl.pem. Все работы проводятся в папке /usr/share/easy-rsa

openssl crl -inform PEM -in pki/crl.pem -text -noout

В выхлопе ищем строки, которые объясняют все


Last Update: Mar 25 09:25:32 2020 GMT
Next Update: Sep 21 09:25:32 2020 GMT

Это значит, что 25 марта я последний раз выполнил команду

./easyrsa gen-crl

Прошло 180 дней и файл crl.pem протух. Чтобы в дальнейшем не возникало таких проблем в файле vars ищем переменную EASYRSA_CRL_DAYS, которая отвечает за «свежесть» файла crl.pem и увеличиваем число дней до 720

set_var EASYRSA_CRL_DAYS 720

Далее

./easyrsa gen-crl
openssl crl -inform PEM -in pki/crl.pem -text -noout


Last Update: Sep 21 11:35:57 2020 GMT
Next Update: Sep 11 11:35:57 2022 GMT

Порядок. Удаленные клиенты стали подключаться. Главное до даты из Next Update не забыть перегенерировать crl.pem 🙂

Александр Черных

системный администратор

55
0