如果客户端尝试连接到 OpenVPN 服务器时收到错误“VERIFY ERROR:depth=0,error=CRL has expired”,可以按如下方式修复:
cd /etc/openvpn/easy-rsa
easyrsa gen-crl
Should result in:
[root@vpnserver easy-rsa]# easyrsa gen-crl
Using SSL: openssl OpenSSL 1.1.1m 14 Dec 2021
Using configuration from /etc/openvpn/easy-rsa/pki/easy-rsa-390.asdf/tmp.qwer
An updated CRL has been created.
CRL file: /etc/openvpn/easy-rsa/pki/crl.pem
It should now be able to connect again.
但是,如何生成具有较长有效期(例如几年)的 CRL?
答案1
https://easy-rsa.readthedocs.io/en/latest/advanced/
EASYRSA_CRL_DAYS(CLI:--days)- 设置 CRL“下次发布”时间(以天为单位)
因此,请设定一个您更喜欢的值。但我认为,找到一种方法来自动生成和部署 CRL,而不是显著增加这个值。