我在 openvpn 上遇到了 CA 证书问题,证书已过期,客户端无法连接。我尝试使用 ca.key 创建新证书,但没有成功。
这是我用来创建新证书的命令:openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key
之后我更改了 openvpn 文件配置以表明新证书是 ca_new.crt。
这是我的配置文件:
端口 1194 原始 UDP dev tun 客户端到客户端 ca easy-rsa/keys/ca_new.crt 证书 easy-rsa/keys/server.crt 密钥 easy-rsa/keys/server.key #crl-验证 easy-rsa/keys/crl.pem dh easy-rsa/keys/dh1024.pem 服务器 10.0.0.0 255.255.0.0 ifconfig-pool-persist ipp.txt 客户端配置目录 ccd 保持活动 10 120 #tls-auth easy-rsa/keys/ta.key 0 #密码 DES-EDE3-CBC comp-lzo 最大客户端数 16129 用户无人 没人组 持久密钥 坚持-tun 状态状态.log 动词 3 tun-mtu 1500 mssfix 1392
当我使用此命令检查新证书时openssl verify -CAfile ca_new.crt server.crt,我收到此消息,
server.crt:/C=FR/ST=Nord/L=Annoeullin/O=CALEO-CTC/CN=服务器/[电子邮件保护]错误 10 位于 0 深度查找:证书已过期 OK
这是 status.log 文件:
OpenVPN 客户端列表 更新时间:2015 年 9 月 2 日星期三 14:38:32 通用名称、真实地址、接收字节数、发送字节数、连接时间 UNDEF,193.248.149.52:48211,343,3344,2015 年 9 月 2 日星期三 14:38:21 UNDEF,193.50.22.130:33870,341,4712,2015 年 9 月 2 日星期三 14:38:16 UNDEF,193.252.209.244:38024,343,7448,2015 年 9 月 2 日星期三 14:38:04 UNDEF,82.127.230.103:55210,343,7904,2015 年 9 月 2 日星期三 14:38:01 UNDEF,193.50.22.130:54559,341,12920,2015 年 9 月 2 日星期三 14:37:35 UNDEF,194.206.44.228:28159,343,4712,2015 年 9 月 2 日星期三 14:38:16 UNDEF,92.155.150.105:35158,343,1976,2015 年 9 月 2 日星期三 14:38:29 UNDEF,213.30.150.186:50232,343,3800,2015 年 9 月 2 日星期三 14:38:21 ...................... ...................... ...................... UNDEF,80.13.217.56:51206,342,5624,2015 年 9 月 2 日星期三 14:38:12 UNDEF,194.206.44.228:29930,343,3344,2015 年 9 月 2 日星期三 14:38:22 UNDEF,92.155.150.105:45657,343,2888,2015 年 9 月 2 日星期三 14:38:23 UNDEF,92.147.131.148:50109,343,9272,2015 年 9 月 2 日星期三 14:37:53 UNDEF,109.6.229.178:59124,343,12920,2015 年 9 月 2 日星期三 14:37:39 UNDEF,194.206.44.228:32420,343,13376,2015 年 9 月 2 日星期三 14:37:34 UNDEF,109.6.229.178:35403,343,2432,2015 年 9 月 2 日星期三 14:38:26 UNDEF,82.127.230.103:58576,343,12920,2015 年 9 月 2 日星期三 14:37:39 UNDEF,185.39.170.34:20415,343,7904,2015 年 9 月 2 日星期三 14:38:02 UNDEF,185.39.170.34:20407,343,11096,2015 年 9 月 2 日星期三 14:37:46 路由表 虚拟地址、通用名称、真实地址、最后引用 全球统计数据 最大广播/组播队列长度,0 结尾
客户端计算机上有 4 个文件:
- 客户端.crt - 客户端.key - ca.crt - 配置.ovpn
我该如何进一步排查问题以找出问题所在?问题是什么?
答案1
error 10 at 0 depth意味着你的服务器证书已过期,而不是您的 CA 证书。颁发新的服务器证书(如果您愿意,可以使用相同的私钥,当然也可以使用相同的 DN)并使用它。拥有/使用 CA 的全部原因是您可以在需要时颁发子(服务器和客户端)证书,而无需手动分发它们,只需分发一个 CA 证书即可。