Проблема
Для соединения в офис используем OpenVPN. Сегодня перестали подключаться удаленные клиенты. В логах openvpn.log ошибка
TLS: Initial packet from [AF_INET]93.77.154.197:1194, sid=83f44790 d53e7c24
WARNING: Failed to stat CRL file, not (re)loading CRL.
VERIFY ERROR: depth=0, error=CRL has expired: CN=berucha
OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Ключевая запись из всего обилия текста
Failed to stat CRL file, not (re)loading CRL
… error=CRL has expired
Решение
Смотрим, что известно о файле crl.pem. Все работы проводятся в папке /usr/share/easy-rsa
openssl crl -inform PEM -in pki/crl.pem -text -noout
В выхлопе ищем строки, которые объясняют все
…
Last Update: Mar 25 09:25:32 2020 GMT
Next Update: Sep 21 09:25:32 2020 GMT
…
Это значит, что 25 марта я последний раз выполнил команду
./easyrsa gen-crl
Прошло 180 дней и файл crl.pem протух. Чтобы в дальнейшем не возникало таких проблем в файле vars ищем переменную EASYRSA_CRL_DAYS, которая отвечает за «свежесть» файла crl.pem и увеличиваем число дней до 720
set_var EASYRSA_CRL_DAYS 720
Далее
./easyrsa gen-crl
openssl crl -inform PEM -in pki/crl.pem -text -noout
…
Last Update: Sep 21 11:35:57 2020 GMT
Next Update: Sep 11 11:35:57 2022 GMT
…
Порядок. Удаленные клиенты стали подключаться. Главное до даты из Next Update не забыть перегенерировать crl.pem 🙂
- Системный администратор с 2000 года
- Участник Freelancehunt, Хабр Q&A, cyberforum
- Кейсы
