pfSense 上的 OpenVPN:CRL 验证失败,PKI 深度为 2

pfSense 上的 OpenVPN:CRL 验证失败,PKI 深度为 2

我使用内置证书管理器在 pfsense 2.2 上创建了站点到站点的 OpenVPN 结构,内容如下:

  • 有一个根 CA 和一个中间 CA,服务器和客户端证书由它们颁发。
  • 完整链分发到 OpenVPN 客户端。
  • 服务器已将对等证书颁发机构设置为中间 CA
  • 服务器已将服务器证书设置为由中间 CA 颁发的证书
  • 服务器将对等 CRL 设置为从中间 CA 创建的 CRL
  • 客户端连接并运行良好,但日志继续给我:

... CRL /var/etc/openvpn/server3.crl-verify is from a different issuer than the issuer of ...

我尝试用根 CA 替换 Peer CA 和 CRL(在 OpenVPN 配置中),但结果相同。我在客户端尝试了所有链式证书组合。日志消息相同。

知道我遗漏了什么吗?看来 CRL 不仅没有得到遵守,甚至没有任何效果。

相关内容