我尝试通过 MacOS openvpn 应用程序连接到我公司的 openvpn 网络,并遇到了警告“服务器 vpn.my_company.com 具有不受信任的 SSL 证书。允许继续连接吗?”
当点击“更多详细信息”时,原因如下:“X509_V_ERR_CERT_HAS_EXPIRED:证书已过期”。但我还是可以选择连接
我从 OpenVPN 管理网页检查了更多信息,证书“验证结果”部分显示:
Web 证书/密钥验证结果。
证书信任警告:证书已过期
有效期:2018.08.24 00:00:00 UTC
有效期至:2020.08.23 23:59:59 UTC-->也就是未来几个月
我的证书是由 COMODO 颁发的,其状态仍为有效。此外,当我通过 Web 浏览器访问 vpn.my_company.com 时,证书仍然正常,即没有关于证书已过期的警告
知道为什么 OpenVPN 应用程序不断警告我证书已过期吗?我通过 openvpn 应用程序建立的连接是否真的不安全?或者我可以忽略警告吗?
非常感谢您对此的任何评论:)
答案1
这是我从 OpenVPN 支持收到的回复 - 要求我更新我的中级证书
你好,
您联系我们时遇到的问题与 COMODO/Sectigo Addtrust 或某些第三方颁发的证书存在问题有关。如果您遇到 COMODO/Sectigo Addtrust 证书问题,我们建议您联系他们或您的证书颁发机构以获取证书支持。
我们的一些客户表示需要我们进一步提供支持。我们对此的政策是,这个问题实际上不是在访问服务器中,而是在证书或其 CA 包中。它不在访问服务器中。但我们可以为您提供一些有用的建议和资源。例如,在 Sectigo 支持的链接中,提到了交叉证书。这允许使用新的有效证书并根据未过期的旧 CA 根对其进行验证。这可以从安装证书和 CA 包的服务器端完成。它涉及从证书颁发者处获取 CA 包,并将 Sectigo 网站上的交叉证书内容添加到其中。这允许尝试验证的 SSL 客户端使用未过期的旧 CA 根。因此,如果您是系统管理员,遇到来自 COMODO/Sectigo AddTrust 的这些证书的问题,那么您可能需要考虑此选项。下面有更多资源。
2020 年 5 月 30 日,COMODO/Sectigo Addtrust 颁发的 CA 根证书已过期。在此日期之后,任何使用此 CA 根证书的旧系统在验证 COMODO/Sectigo Addtrust 签名的证书时都会遇到中断或显示错误消息,例如“证书已过期”或“证书无效”。
在某些情况下可能会发生的情况是,您可能拥有有效的证书,但由于它链接到的用于验证的 CA 根证书已过期,因此您仍会收到一条消息,提示该证书已过期或无效。
有关该问题的更多信息和可能的解决方案可以在 Sectigo 官方网站上找到: https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l00000117LT
除了 AddTrust 根之外,Sectigo 还拥有其他更老的遗留根,它们从一个根生成交叉证书,以扩展向后兼容性。交叉证书由名为“AAA 证书服务”的根签名。已将 AddTrust 外部 CA 根嵌入其应用程序或自定义遗留设备的客户可能需要嵌入新的 USERTrust RSA CA 根替换。
较旧的访问服务器可能包含过时的 CA 根信息。要解决此问题,您可以将访问服务器更新为包含最新信息的最新版本。
如果您在使用 COMODO/Sectigo Addtrust 证书时遇到问题,我们建议您联系他们或您的证书颁发机构以获取其证书支持。
诚挚的问候,Johan Draaisma,Access Server 和 OpenVPN 核心项目经理 - 随时了解最新的安全发展:https://openvpn.net/security-advisories/