openvpn crl.pem证书过期问题

最新推荐文章于 2024-05-08 16:37:04 发布
最新推荐文章于 2024-05-08 16:37:04 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 故障排查 文章标签: 故障处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xpt211314/article/details/133175679
版权

问题描述

部署的openvpn,提供给员工访问内网使用;使用了大约大半年,一直很稳定,上周使用的时候,客户端连接不上了,显示一直重新连接(截图没有及时保留),重启了openvpn服务也不行。
排除了客户端和服务器之间的网络问题,排除了客户端问题(因为发现所有的客户端连接都是这个问题),目标指向了服务端;

问题排查

查看服务端日志,发现异常:

Fri Sep 22 14:58:11 2023 TCP connection established with [AF_INET]36.5.145.85:49977
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 TLS: Initial packet from [AF_INET]36.5.145.85:49977, sid=d05e0a39 
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 WARNING: Failed to stat CRL file, not (re)loading CRL.
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 VERIFY ERROR: depth=0, error=CRL has expired: CN=xuyubing
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:c
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 TLS_ERROR: BIO read tls_read_plaintext error
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 TLS Error: TLS object -> incoming plaintext read error
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 TLS Error: TLS handshake failed
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 Fatal TLS error (check_tls_errors_co), restarting
Fri Sep 22 14:58:12 2023 36.5.145.85:49977 SIGUSR1[soft,tls-error] received, client-instance restarting

注意看这里:

error=CRL has expired

意思是 CRL已过期,问题大致清楚;

问题处理

这里,主要有两种解决方案:
1、OpenVPN 新证书撤销列表法,即:重新生成crl.pem证书

./easyrsa gen-crl 		# 使用EasyRSA的CRL生成新的CRL证书

2、注释掉VPN配置文件的CRL证书选项。

vim server.conf
#crl-verify  ********/crl.pem		# 注释掉

注意:crl-verify 行配置当时是为了吊销客户端证书添加的,所以要注意当初吊销的客户端证书这一问题;

最后重启下openvpn服务;

参考链接:https://developer.aliyun.com/article/808039

星火燎愿
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
路由器怎么设置vpn连接.doc
09-17
路由器怎么设置vpn连接.doc
openvpn证书过期解决
疯飙的蜗牛
03-13 1914
解决办法:检查服务器时间,或者是ntp时间同步。解决办法:重新生成证书进行替换。
CRL has expired(OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE)
lonet的专栏
02-20 3143
程序一直使用都很正常,突然有一天所有客户端都无法连接,查看服务器日志后发现出现如下错误: TLS: Initial packet from [AF_INET]19.10.5.11:51849, sid=ba13f8a4 4c4aec28 VERIFY ERROR: depth=0, error=CRL has expired: CN=client1 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certi
OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error”
橙旭猿的专栏
05-08 350
【代码】OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error”
open虚专网证书过期问题解决一例
whoami333的专栏
07-29 2870
centos7.5 openvpn2.4.7 easyrsa3.0 证书 过期 解决
有时OPEN***提示报错,如下错误及解决方法
weixin_33725270的博客
12-14 9118
Dec 14 11:40:47 nfs12 open***[31685]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failedDec 14 11:40:47 nfs12 open***[31685...
Windows.Networking.Vpn.dll
02-23
系统依赖DLL动态库
openconnect-gui-bottle.tar
06-16
现在10.15上annyconnect不能用了,还好发现有openconnect可以替代
softether-open-vpnclient-v4.43-9799.exe
最新发布
05-13
这个是客户端。 功能:可以搭建各种网络代理(电脑端和手机端都能使用);把多个局域网连接成一个大局域网;其他各种强大的网络搭建都能做 截止到发贴日(2024-5-13),最新的版本是该版本 v4.43-9799 ...
TAP安装故障排除.docx
01-07
根据本人运维经验,结合openVPN社区相关案例,针对TAP-Windows-adapter安装失败“an error occured installing the TAP device driver”错误提示,提出五种解决方案
基于 Open×××下的Lan2Lan
weixin_34273479的博客
11-05 202
基于 Open×××下的Lan2Lan 基于Open××× 下局域网到局域网 概述 配置Open××× 2.0的第一步是建立一个PKI(public key infrastructure 公钥基础设施),PKI包括: 服务端和每个客户端都有一个证书也称做公钥和私钥 一个认证机构(CA)的证书和私钥,用来为每一个服务端和客户端颁发证书(sign each of t...
Linux下Open×××密钥认证和用户名/密码认证笔记
weixin_34096182的博客
01-06 3476
Linux下Open×××密钥认证和用户名/密码认证笔记http://blog.chinaunix.net/uid-24250828-id-3536671.htmlOpen×××是一个开源的虚拟专用通道工具,是基于OpenSSL的SSL协议.可以实现在互联网中的点对点的安全连接.Open×××优点:1.安全,易用,稳定.2.验证方式多样,包括:预享私钥,第...
opensll 证书CRL生成
qq_44401850的博客
07-12 1257
用openssl生成CRLCRL解析,且验证证书吊销列表
阿里云 centos 安装 openvpn
差点GDP
09-01 1682
阿里云 centos 安装 openvpn
OpenVPN部署
glisten0317的博客
05-10 4597
安装epel仓库安装easy-RSA安装openvpn服务端如果在线无法安装,可以通过离线文件进行安装。
openVPN生成客户端ca证书
05-25
要为 OpenVPN 生成客户端 CA 证书,您可以按照以下步骤操作: 1. 首先,在服务器上创建一个新的证书颁发机构(CA)。这可以通过以下命令完成: ``` cd /etc/openvpn/easy-rsa/ ./easyrsa init-pki ./easyrsa build-ca ``` 2. 接下来,生成一个客户端证书签名请求(CSR): ``` ./easyrsa gen-req client1 nopass ``` 3. 签名客户端证书签名请求: ``` ./easyrsa sign-req client client1 ``` 4. 将生成的证书和密钥文件复制到客户端计算机上。这些文件位于以下位置: ``` /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/easy-rsa/pki/issued/client1.crt /etc/openvpn/easy-rsa/pki/private/client1.key ``` 5. 在客户端上配置 OpenVPN 连接。在 OpenVPN 配置文件中,添加以下条目: ``` client dev tun proto udp remote [server-ip-address] [port] resolv-retry infinite nobind persist-key persist-tun ca /path/to/ca.crt cert /path/to/client1.crt key /path/to/client1.key ``` 6. 保存并关闭文件,然后启动 OpenVPN 连接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值