那些遇到过的问题

OpenVPN 撤销用户 - CRL 验证问题

dov*_*178 4 linux openvpn crl centos7

我已经配置了我的 OpenVPN,到目前为止它工作正常。最近我不得不撤销一个证书,在使用 easy-rsa revoke-full 后,我在 index.txt 中看到该特定用户已被撤销。我还注意到 crl.pem 有新的时间戳,所以它确实更新了。问题开始于 1 个月后,所有用户都被阻止,因为我在 server.conf 行中添加到 verify-crl 和 crl.pem 的路径

#CRL-VERIFY - for revoking users
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
Run Code Online (Sandbox Code Playgroud)

所以我的问题是,如果我使用 easy-rsa 2.x 脚本 revoke-full 并且我可以看到该索引已将这个特定证书标记为要撤销。如果我还发现 /keys/crl.pem 的时间戳是当前时间戳,并且在我重新启动 openvpn 服务后(为了好的措施),它为什么仍然被阻止。

当然我可以删除verify-crl,但这不是重点。

Certificate Revocation List (CRL):
        Version 1 (0x0)
    Signature Algorithm: XXXXXXXXXXXXXXXX
        Issuer: /C=DE/ST=xxxxxx/L=xxxxxx/O=xxxxxxxxxx/OU=xxxxxxxxxx/CN=xxxxxxxxxx/emailAddress=lol@xxxxxxxxxx
        Last Update: May  1 07:10:34 2019 GMT
        Next Update: May 31 07:10:34 2019 GMT
Revoked Certificates:
    Serial Number: 0B
        Revocation Date: Mar 29 19:37:51 2019 GMT
Run Code Online (Sandbox Code Playgroud)

我看到下一次更新定于31.May,所以我想知道如何逐步取消证书,也许我错过了一些东西。

sim*_*ser 5

1个月后开始出现所有用户都被屏蔽的问题

我遇到了同样的问题。我发现默认情况下,openVPN+easy-rsa 只生成一个有效期为 30 天的 CRL,当 CRL 到期时,openVPN 将不允许任何连接。

由于我不吊销证书时候,我只是(1)创建一个脚本来重新生成CRL,和(2)改变了CRL到期时间为6个月。

这是我的regen-crl脚本,它在/etc/openvpn/easy-rsa--- 注意选项中运行-crldays 180

#!/bin/sh
CRL="crl.pem"
if [ "$KEY_DIR" ]; then
    cd "$KEY_DIR"
    rm -f "$RT"

    # set defaults
    export KEY_CN=""
    export KEY_OU=""
    export KEY_NAME=""

    # required due to hack in openssl.cnf that supports Subject Alternative Names
    export KEY_ALTNAMES=""

    # generate a new CRL -- try to be compatible with
    # intermediate PKIs
    $OPENSSL ca -crldays 180 -gencrl -out "$CRL" -config "$KEY_CONFIG"
    $OPENSSL crl -text -in "$CRL"
else
    echo 'Please source the vars script first (i.e. "source ./vars")'
    echo 'Make sure you have edited it to reflect your configuration.'
fi
Run Code Online (Sandbox Code Playgroud)

我还必须/etc/openvpn/easy-rsa/openssl.cnf通过更改[CA_default]部分中的这一行来修改以匹配:

default_crl_days= 180                   # how long before next CRL
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

3680 次

最近记录:

6 年,3 月 前
相关归档
如何检查我的 SSL 证书是否已被吊销 27
如何使iptables规则过期? 22
递归复制隐藏文件 - Linux 20
在 Linux 虚拟机中热移除内存 11
Linux 设备问题上没有剩余空间 10
如何从 Linux 清除 DMI 系统事件日志? 7
从上游读取响应标头时,nginx recv() 失败(104:对等连接重置) 7
Logrotate 和“不安全的权限”:实际上会出现什么问题? 7
使用 cn=config 说服 openldap 在 Ubuntu 上使用 SSL 4
1TB 硬盘无法在 Linux 中工作 0
难疑归档
您如何从以前的 IT 人员那里搜索后门? 374
/tmp 什么时候清除? 184
站点可用与站点启用与 conf.d 目录(Nginx)的区别? 157
Windows 是否有用于命令行的内置 ZIP 命令? 126
IPTABLES - 限制特定传入 IP 的速率 103
我可以安全地将哪些 MAC 地址范围用于我的虚拟机? 96
平均负载高,CPU 使用率低 - 为什么? 92
为什么我会收到 sqlite 错误,“无法打开数据库文件”? 72
SSH 允许一个用户使用密码,仅允许使用公钥 69
Windows 2008:WinSXS 目录不受控制地增长,阻塞服务器 62