openvpn:crl 已过期?

openvpn:crl 已过期?

我们的 aws 设置中有一个由客户设置的 OpenVPN,现在他们无法连接到 open vpn,并显示“crl 已过期”。我们正在尝试重新生成 crl,但要做到这一点,我们需要转到 easy-rsa 文件夹,然后在那里运行以下命令:

  • cd 路径/到/easy-rsa/目录
  • 这里需要运行以下命令
./easy-rsa crl-gen
  • 但这里的问题是 easy-rsa 目录内的 easy-rsa 脚本文件丢失,没有该文件我们将无法生成 crl。
2019 年 8 月 27 日星期二 10:25:17 122.166.3.167:18363 验证错误:深度=0,错误=CRL 已过期:C=US,ST=CA,L=SanFrancisco,O=Fort-Funston,OU=MyOrganizationalUnit,CN=pkoparde,名称=EasyRSA,[电子邮件保护]
2019 年 8 月 27 日星期二 10:25:17 122.166.3.167:18363 OpenSSL:错误:14089086:SSL 例程:ssl3_get_client_certificate:证书验证失败
2019 年 8 月 27 日星期二 10:25:17 122.166.3.167:18363 TLS_ERROR:BIO 读取 tls_read_plaintext 错误
2019 年 8 月 27 日星期二 10:25:17 122.166.3.167:18363 TLS 错误:TLS 对象 -> 传入纯文本读取错误
2019 年 8 月 27 日星期二 10:25:17 122.166.3.167:18363 TLS 错误:TLS 握手失败
2019 年 8 月 27 日星期二 10:25:17 122.166.3.167:18363 SIGUSR1[soft,tls-error] 已收到,客户端实例正在重新启动

有人能帮我解决这个问题吗?这是生产服务器的问题?

答案1

easy-rsa 已针对大多数 Linux 发行版进行了打包。只需从包管理器安装即可。

例如:

sudo apt install easy-rsa

您应该以 的形式运行从分发包中安装的 easy-rsa easy-rsa,而不是./easy-rsa

答案2

当您在服务器上生成新的 CRL 文件以移动到客户端时,请使用以下命令EASYRSA_CRL_DAYS=3650 ./easyrsa gen-crl设置更长的时间段(10 年):。对我来说,我使用从他们最新的发布

答案3

下载easy-rsa 脚本再次创建一个新的 crl。

相关内容