2019年4月6日土曜日

OpenVPN接続失敗 crl.pem期限切れ VERIFY ERROR CRL has expired

2019 Apr. 06.

OpenVPN接続失敗ログ

TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx.:pppp, sid=xxxx
VERIFY ERROR: depth=0, error=CRL has expired: CN=xxxx
 OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed

対策

 参考サイト( https://blog.cosnomi.com/archives/1031 )

手順

OpenVPNをインストールした時のCA証明書(認証局証明書)生成時のパスフレーズを用意する。

  次の要領でbuild-caコマンドを実行した時に入力したパスフレーズ
    $ cd YOUR/WORK/DIR/easy-rsa/easyrsa3
    $ ./easyrsa build-ca

crl.pem(証明書失効リスト)の再生成

$ cd YOUR/WORK/DIR/easy-rsa/easyrsa3
$ ./easyrsa gen-crl
  パスフレーズを尋ねられるので、CA証明書のパスフレーズを入力する。
$ sudo cp ./pki/crl.pem /etc/openvpn/
$ sudo chmod o+r /etc/openvpn/crl.pem

OpenVPNの再起動

$ sudo systemctl restart openvpn.service
$ sudo systemctl restart openvpn@server.service

0 件のコメント:

コメントを投稿