CRL has expired(OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE)

已于 2022-03-16 16:24:48 修改
阅读量3.1k 收藏
点赞数
分类专栏: 软件 文章标签: ssl 服务器 网络协议
于 2021-02-20 15:35:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lonet/article/details/113884044
版权

程序一直使用都很正常,突然有一天所有客户端都无法连接,查看服务器日志后发现出现如下错误:

TLS: Initial packet from [AF_INET]19.10.5.11:51849, sid=ba13f8a4 4c4aec28
VERIFY ERROR: depth=0, error=CRL has expired: CN=client1
OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting

回想这段时间也没有对服务器端做过什么修改,只是大概一个月前吊销了一些不需要的证书,故使用如下命令查询一下CRL有效期,发现果然是CRL文件过期了

openssl crl -inform PEM -in keys/crl.pem -text -noout

一般情况下可以使用以下命令更新CRL列表,然后再将新的CRL列表复制到程序的目录既可

openssl ca -gencrl -keyfile keys/ca.key -cert keys/ca.crt -out keys/crl.pem -config openssl-1.0.0.cnf

默认情况下,CRL每30天更新一次。这在[CA_default]部分的配置如下所示:

default_crl_days= 30

为了避免相应的问题再次出现将其改为3650: 

default_crl_days = 3650

改完配置后再用上面的命令重新生成CRL列表后覆盖程序目录下的文件再重启程序,客户端又可以正常连接了,至此问题解决。

lonet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析Boost智能指针:scoped_ptr shared_ptr weak_ptr
09-05
- `T* get() const`:获取原始指针,但不转移所有权。 - `void swap(scoped_ptr& b)`:交换两个`boost::scoped_ptr`管理的对象。 ### 2. shared_ptr `boost::shared_ptr` 是一个可共享所有权的智能指针,多个`...
有时OPEN***提示报错,如下错误及解决方法
weixin_33725270的博客
12-14 9159
Dec 14 11:40:47 nfs12 open***[31685]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failedDec 14 11:40:47 nfs12 open***[31685...
sslexpiry.js:密切注意SSL证书的到期日期
04-12
npm软件包以密切注意SSL证书的到期日期 该脚本连接到一组给定的服务器,获取并验证其SSL证书,并检查到期日期等。如果出现以下情况,它将向您发出警告: 连接失败, SSL协商无法成功, SSL证书无法验证, SSL...
ruby_smb:SMB协议家族的本机Ruby实现
05-16
RubySMB 这是SMB协议系列的本机Ruby实现。 目前支持: RubySMB库为协议提供了客户端级别和数据包级别的支持。 用户可以解析和处理原始SMB数据包,或使用客户端执行更高级别的SMB操作。 有关该项目的长期目标,...
Unity_Test:检查推拉
04-16
3. 用户输入处理: 要实现推拉效果,需要监听用户的输入,如键盘按键或鼠标点击。Unity提供Input类来获取这些输入。例如,可以监听水平和垂直轴的输入值来控制物体的平移,或者监听鼠标点击位置来确定拖动的起点。 ...
Unity_WebRequestError:卷曲错误51
03-13
具体来说,错误代码51表示证书验证失败,原因是证书过期(UNITYTLS_X509VERIFY_FLAG_EXPIRED)。下面我们将详细探讨这个问题的原因、影响以及解决方法。 1. **原因分析**: - **证书过期**:Unity在进行HTTPS连接...
openvpn证书过期解决
最新发布
疯飙的蜗牛
03-13 2202
解决办法:检查服务器时间,或者是ntp时间同步。解决办法:重新生成证书进行替换。
openvpn crl.pem证书过期问题
xpt211314的博客
09-22 2007
部署的openvpn,提供给员工访问内网使用;使用了大约大半年,一直很稳定,上周使用的时候,客户端连接不上了,显示一直重新连接(截图没有及时保留),重启了openvpn服务也不行。排除了客户端和服务器之间的网络问题,排除了客户端问题(因为发现所有的客户端连接都是这个问题),目标指向了服务端;
【解决】TLS/SSLError问题导致无法使用pip或conda安装软件包
热门推荐
xfxuezhang.cn
08-19 1万+
Copy these files from the ./Library/bin to ./DLLs/ : libcrypto-1_1-x64.* libssl-1_1-x64.* 解决 欢迎关注↓↓↓ 头条号:小锋学长 微信公众号:xfxuezhang ...
系统时间不对导致证书验证无法通过
xcw1234的博客
04-30 2350
(get_openssL_error:128): SSL_accept error, get openssL error: 3016997168:error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed:s3_srvr.c:3276: 服务器的证书(及涉及到的其他证书)的有效验证时间需要包含当前时间。每个证书都有notBefore(不早于)和notAfter(不晚于)字段,当前时间必须落在这两者之间。
openwrt routeros openvpn client 无线重连报错的原因分析
Task深水炸弹
06-20 2093
通过使用openwrt Ovpn客户端连接 Routeros上的Ovpn Server,竟然因为cipher兼容性问题久久连接不上,且报错信息一踏糊涂,本文将带你运维第一视角解决企业vpn连接问题,通过日志+源码的方式定位及排除错误......
基于 Open×××下的Lan2Lan
weixin_34273479的博客
11-05 202
基于 Open×××下的Lan2Lan 基于Open××× 下局域网到局域网 概述 配置Open××× 2.0的第一步是建立一个PKI(public key infrastructure 公钥基础设施),PKI包括: 服务端和每个客户端都有一个证书也称做公钥和私钥 一个认证机构(CA)的证书和私钥,用来为每一个服务端和客户端颁发证书(sign each of t...
linux下openvpn客户端安装
qq_40843427的博客
01-19 1301
出现:TLS Error: TLS object -> incoming plaintext read error等报错信息,可能是此时的linux时间和时区不对,需要对时操作。3.进入/etc/openvpn目录下,将ca.crt、client.crt、client.key、client.ovpn、ta.key导入。在/etc/openvpn下输入openvpn client.ovpn。4.输入 openvpn client.ovpn启动openvpn。5.ifconfig后看到tun隧道已经产生。
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: certificate has expired (_ssl.c:1108)
08-29
ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: certificate has expired (_ssl.c:1108) 这个错误是由于SSL证书过期导致的。 在使用urllib模块的时候,如果打开的是一个https链接,urlopen方法会验证SSL证书。如果证书过期,就会抛出这个错误。 解决这个问题的方法是在使用urllib的文件中添加以下代码:import ssl ssl._create_default_https_context = ssl._create_unverified_context 这样做将会创建一个未验证的SSL上下文,从而绕过证书验证,解决证书过期的问题。这样在访问https链接时就不会再报错了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed问题解决](https://blog.csdn.net/qq_39613424/article/details/119616943)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值