程序一直使用都很正常,突然有一天所有客户端都无法连接,查看服务器日志后发现出现如下错误:
TLS: Initial packet from [AF_INET]19.10.5.11:51849, sid=ba13f8a4 4c4aec28
VERIFY ERROR: depth=0, error=CRL has expired: CN=client1
OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting
回想这段时间也没有对服务器端做过什么修改,只是大概一个月前吊销了一些不需要的证书,故使用如下命令查询一下CRL有效期,发现果然是CRL文件过期了
openssl crl -inform PEM -in keys/crl.pem -text -noout
一般情况下可以使用以下命令更新CRL列表,然后再将新的CRL列表复制到程序的目录既可
openssl ca -gencrl -keyfile keys/ca.key -cert keys/ca.crt -out keys/crl.pem -config openssl-1.0.0.cnf
默认情况下,CRL每30天更新一次。这在[CA_default]部分的配置如下所示:
default_crl_days= 30
为了避免相应的问题再次出现将其改为3650:
default_crl_days = 3650
改完配置后再用上面的命令重新生成CRL列表后覆盖程序目录下的文件再重启程序,客户端又可以正常连接了,至此问题解决。