openvpn crl.pem证书过期问题

最新推荐文章于 2024-05-08 16:37:04 发布
最新推荐文章于 2024-05-08 16:37:04 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 故障排查 文章标签: 故障处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xpt211314/article/details/133175679
版权

问题描述

部署的openvpn,提供给员工访问内网使用;使用了大约大半年,一直很稳定,上周使用的时候,客户端连接不上了,显示一直重新连接(截图没有及时保留),重启了openvpn服务也不行。
排除了客户端和服务器之间的网络问题,排除了客户端问题(因为发现所有的客户端连接都是这个问题),目标指向了服务端;

问题排查

查看服务端日志,发现异常:

Fri Sep 22 14:58:11 2023 TCP connection established with [AF_INET]36.5.145.85:49977
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 TLS: Initial packet from [AF_INET]36.5.145.85:49977, sid=d05e0a39 
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 WARNING: Failed to stat CRL file, not (re)loading CRL.
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 VERIFY ERROR: depth=0, error=CRL has expired: CN=xuyubing
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:c
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 TLS_ERROR: BIO read tls_read_plaintext error
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 TLS Error: TLS object -> incoming plaintext read error
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 TLS Error: TLS handshake failed
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 Fatal TLS error (check_tls_errors_co), restarting
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 SIGUSR1[soft,tls-error] received, client-instance restarting

注意看这里:

error=CRL has expired

意思是 CRL已过期,问题大致清楚;

问题处理

这里,主要有两种解决方案:
1、OpenVPN 新证书撤销列表法,即:重新生成crl.pem证书

./easyrsa gen-crl 		# 使用EasyRSA的CRL生成新的CRL证书

2、注释掉VPN配置文件的CRL证书选项。

vim server.conf
#crl-verify  ********/crl.pem		# 注释掉

注意:crl-verify 行配置当时是为了吊销客户端证书添加的,所以要注意当初吊销的客户端证书这一问题;

最后重启下openvpn服务;

参考链接:https://developer.aliyun.com/article/808039

星火燎愿
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
open虚专网证书过期问题解决一例
whoami333的专栏
07-29 2844
centos7.5 openvpn2.4.7 easyrsa3.0 证书 过期 解决
openconnect-gui-bottle.tar
06-16
现在10.15上annyconnect不能用了,还好发现有openconnect可以替代
openvpn证书过期解决
疯飙的蜗牛
03-13 1730
解决办法:检查服务器时间,或者是ntp时间同步。解决办法:重新生成证书进行替换。
CRL has expired(OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE)
lonet的专栏
02-20 3133
程序一直使用都很正常,突然有一天所有客户端都无法连接,查看服务器日志后发现出现如下错误: TLS: Initial packet from [AF_INET]19.10.5.11:51849, sid=ba13f8a4 4c4aec28 VERIFY ERROR: depth=0, error=CRL has expired: CN=client1 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certi
OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error”
橙旭猿的专栏
05-08 310
【代码】OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error”
openXXX 证书有效期
简先生的研究记录
10-08 1090
修改vars 只对新生成的证书有效,默认的vars 是一年,可以在这里改
解决证书过期问题
心想事成
12-27 5729
解决证书过期问题 当我们打开浏览器,出现证书过期问题,多数情况是由于计算机的日期不正确造成的。 解决的方法,很简单,改正确就可以了。 如果经常出现,就可能是由于主板上的电池没电了,赶紧换一块。
Netbackup 证书过期问题处理办法-NBU Error 8506
信诺时代-Sinoage Backup & DR Team
03-18 6935
从NBU8开始,NBU加入的证书机制,用于加密NBU客户端和NBU服务器之间的通讯,确保通讯传输安全,提高了备份系统的安全性。在安全性提高的同时,也为一直以来特别稳定的NBU备份平台带来了诸多问题。目前在NBU的诸多售后服务事件中,由于证书问题引起的NBU备份系统故障,占到了很大的比例。 近期遇到一个问题,NBU证书过期,导致以下报错: A ba...
opensll 证书CRL生成
qq_44401850的博客
07-12 1239
用openssl生成CRLCRL解析,且验证证书吊销列表
路由器怎么设置vpn连接.doc
09-17
路由器怎么设置vpn连接.doc
Windows.Networking.Vpn.dll
02-23
系统依赖DLL动态库
TAP安装故障排除.docx
01-07
根据本人运维经验,结合openVPN社区相关案例,针对TAP-Windows-adapter安装失败“an error occured installing the TAP device driver”错误提示,提出五种解决方案
softether-open-vpnclient-v4.43-9799.exe
最新发布
05-13
这个是客户端。 功能:可以搭建各种网络代理(电脑端和手机端都能使用);把多个局域网连接成一个大局域网;其他各种强大的网络搭建都能做 截止到发贴日(2024-5-13),最新的版本是该版本 v4.43-9799 ...
阿里云 centos 安装 openvpn
差点GDP
09-01 1626
阿里云 centos 安装 openvpn
系统时间不对导致证书验证无法通过
xcw1234的博客
04-30 2310
(get_openssL_error:128): SSL_accept error, get openssL error: 3016997168:error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed:s3_srvr.c:3276: 服务器的证书(及涉及到的其他证书)的有效验证时间需要包含当前时间。每个证书都有notBefore(不早于)和notAfter(不晚于)字段,当前时间必须落在这两者之间。
SSL中,公钥、私钥、证书(pem、crt、cer、key、csr)的后缀名都是些啥?
热门推荐
HD243608836的博客
10-21 2万+
今天做这么一个事,centos服务器,tomcat8+nginx1.6,现在要在上面运行cas4.0。所以需要配ssl,然后找教程,了解到,需要把tomcat和nginx的ssl都配置好。到这里就晕了,tomcat配ssl需要一个.keystore文件,nginx则需要配一个.crt和一个.key的文件。按照教程使用keytool生成了.keystore文件,然后我需要通过.keystore导出一个.crt文件,但是找了好多教程只是导出.cer文件。
openssl校验证书
m0_46665077的博客
04-22 4624
openssl校验证书到期时间 openssl校验证书文件(crt/cer文件)与密钥文件(key文件)是否匹配
openVPN生成客户端ca证书
05-25
要为 OpenVPN 生成客户端 CA 证书,您可以按照以下步骤操作: 1. 首先,在服务器上创建一个新的证书颁发机构(CA)。这可以通过以下命令完成: ``` cd /etc/openvpn/easy-rsa/ ./easyrsa init-pki ./easyrsa build-ca ``` 2. 接下来,生成一个客户端证书签名请求(CSR): ``` ./easyrsa gen-req client1 nopass ``` 3. 签名客户端证书签名请求: ``` ./easyrsa sign-req client client1 ``` 4. 将生成的证书和密钥文件复制到客户端计算机上。这些文件位于以下位置: ``` /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/easy-rsa/pki/issued/client1.crt /etc/openvpn/easy-rsa/pki/private/client1.key ``` 5. 在客户端上配置 OpenVPN 连接。在 OpenVPN 配置文件中,添加以下条目: ``` client dev tun proto udp remote [server-ip-address] [port] resolv-retry infinite nobind persist-key persist-tun ca /path/to/ca.crt cert /path/to/client1.crt key /path/to/client1.key ``` 6. 保存并关闭文件,然后启动 OpenVPN 连接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值