我使用 easy-rsa 2.0 创建了一个 CA 和一个中间 CA。在 Openvpn 服务器上,我使用中间证书 export_ca(根据 easy-rsa 规范)。当我撤销中间 CA 上的证书并将新的 crl.pem 文件复制到 openvpn 服务器时,我收到以下消息:
CRL:CRL /etc/openvpn/crl.pem 与证书颁发者来自不同的颁发者
我已阅读了所有 openvpn 文档,但没有提到使用中间 CA 撤销证书/用户。从功能上讲,CRL 有效 - 即撤销的证书/用户无法连接。
我很确定 openvpn 之所以抱怨是因为它没有完整的 CA 链,但我又不完全确定——有人能解释一下我为什么会遇到这种情况吗?
答案1
看起来您发现了 openvpn 中的一个(小)错误。您应该通过将 CA 和子 CA 证书堆叠在一起来在服务器上拥有完整的(公共)CA 链。当客户端连接时,验证过程会遍历整个链并尝试找到匹配的 CRL。由于中间 CA 本身没有 CRL,因此会打印此消息,这是伪造的。
您还应该看到
CRL CHECK FAILED: [DN] is REVOKED
只要您看到中级 CA 颁发的证书已被正确撤销。
高血压,
吉吉克