我已经配置了我的 OpenVPN,到目前为止它工作正常。最近我不得不撤销一个证书,在使用 easy-rsa revoke-full 后,我在 index.txt 中看到该特定用户已被撤销。我还注意到 crl.pem 有新的时间戳,所以它确实更新了。问题开始于 1 个月后,所有用户都被阻止,因为我在 server.conf 行中添加到 verify-crl 和 crl.pem 的路径
#CRL-VERIFY - for revoking users
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
所以我的问题是,如果我使用 easy-rsa 2.x 脚本 revoke-full 并且我可以看到该索引已将这个特定证书标记为要撤销。如果我还发现 /keys/crl.pem 的时间戳是当前时间戳,并且在我重新启动 openvpn 服务后(为了好的措施),它为什么仍然被阻止。
当然我可以删除verify-crl,但这不是重点。
Certificate Revocation List (CRL):
Version 1 (0x0)
Signature Algorithm: XXXXXXXXXXXXXXXX
Issuer: /C=DE/ST=xxxxxx/L=xxxxxx/O=xxxxxxxxxx/OU=xxxxxxxxxx/CN=xxxxxxxxxx/emailAddress=lol@xxxxxxxxxx
Last Update: May 1 07:10:34 2019 GMT
Next Update: May 31 07:10:34 2019 GMT
Revoked Certificates:
Serial Number: 0B
Revocation Date: Mar 29 19:37:51 2019 GMT
我看到下一次更新定于31.May,所以我想知道如何逐步取消证书,也许我错过了一些东西。