openvpn перестал работать ошибка сертификата.

Дата | 11.03.2025
0 Комментарий

openvpn перестал работать ошибка сертификата.
Привет, cтолкнулся с проблемой, не работает openvpn.
Ошибка сертификата показывает VERIFY ERROR: depth=0, error=CRL has expired: CN=user_pro01.
Вот такая ошибка.

2025-03-08 10:34:17 40.40.40.40:56595 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-08 10:34:18 20.20.20.20:17663 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2025-03-08 10:34:18 20.20.20.20:17663 TLS Error: TLS handshake failed
2025-03-08 10:34:18 20.20.20.20:17663 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-08 10:34:19 56.56.56.56:57729 TLS Error: Unroutable control packet received from [AF_INET]56.56.56.56:57729 (si=3 op=P_CONTROL_V1)
2025-03-08 10:34:32 33.33.33.33:53477 TLS Error: Unroutable control packet received from [AF_INET]33.33.33.33:53477 (si=3 op=P_CONTROL_V1)
2025-03-08 10:34:33 40.40.40.40:52255 VERIFY ERROR: depth=0, error=CRL has expired: CN=user_pro01, serial=44256302698432184119286927193249583339
2025-03-08 10:34:33 40.40.40.40:52255 OpenSSL: error:0A000086:SSL routines::certificate verify failed
2025-03-08 10:34:33 40.40.40.40:52255 TLS_ERROR: BIO read tls_read_plaintext error
2025-03-08 10:34:33 40.40.40.40:52255 TLS Error: TLS object -> incoming plaintext read error
2025-03-08 10:34:33 40.40.40.40:52255 TLS Error: TLS handshake failed
2025-03-08 10:34:33 40.40.40.40:52255 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-08 10:34:33 40.40.40.40:63817 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2025-03-08 10:34:33 40.40.40.40:63817 TLS Error: TLS handshake failed
2025-03-08 10:34:33 40.40.40.40:63817 SIGUSR1[soft,tls-error] received, client-instance restarting
2025-03-08 10:34:33 33.33.33.33:53477 TLS Error: Unroutable control packet received from [AF_INET]33.33.33.33:53477 (si=3 op=P_CONTROL_V1)

Изменил время на сервер (на 1 день назад) и перезагрузил openvpn сервер, openvpn заработал.
Вернул время актуальное на сервере.
Проверяю срок службы сертификата crl-verify.

openssl crl -inform PEM -in /etc/openvpn/easy-rsa/pki/crl.pem -text -noout
        Issuer: CN = Easy-RSA CA
        Last Update: Sep  9 18:05:51 2024 GMT
        Next Update: Mar  8 18:05:51 2025 GMT
        CRL extensions:

Сертификат просрочен.
Решил увеличить время жизни сертификата на год.
В файле /etc/openvpn/easy-rsa.pki/vars добавил параметр set_var EASYRSA_CRL_DAYS 365 и после пересоздал сертификат для работы со списком отозванных сертификатов.

cd /etc/openvpn/easy-rsa && ./easyrsa gen-crl

Проверяем

openssl crl -inform PEM -in /etc/openvpn/easy-rsa/pki/crl.pem -text -noout
        Issuer: CN = Easy-RSA CA
        Last Update: Mar  9 18:20:00 2025 GMT
        Next Update: Mar  9 18:20:00 2026 GMT
        CRL extensions:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *