我使用内置证书管理器在 pfsense 2.2 上创建了站点到站点的 OpenVPN 结构,内容如下:
- 有一个根 CA 和一个中间 CA,服务器和客户端证书由它们颁发。
- 完整链分发到 OpenVPN 客户端。
- 服务器已将对等证书颁发机构设置为中间 CA
- 服务器已将服务器证书设置为由中间 CA 颁发的证书
- 服务器将对等 CRL 设置为从中间 CA 创建的 CRL
- 客户端连接并运行良好,但日志继续给我:
... CRL /var/etc/openvpn/server3.crl-verify is from a different issuer than the issuer of ...
我尝试用根 CA 替换 Peer CA 和 CRL(在 OpenVPN 配置中),但结果相同。我在客户端尝试了所有链式证书组合。日志消息相同。
知道我遗漏了什么吗?看来 CRL 不仅没有得到遵守,甚至没有任何效果。