openvpn证书过期解决

已于 2024-03-13 11:10:45 修改
阅读量2.5k 收藏 8
点赞数 6
分类专栏: linux 文章标签: openvpn
于 2024-03-13 11:05:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangxueleishamo/article/details/136674054
版权

一、问题

客户端:OpenVPN所有客户端突然无法拨入

WARNING: No server certificate verification method has been enabled

服务端:查看服务端日志发现如下错误信息:
Tue Mar 12 22:58:11 2024 TCP connection established with [AF_INET]36.5.145.85:49977
Tue Mar 12 22:58:11 2024 36.5.145.85:49977 TLS: Initial packet from [AF_INET]36.5.145.85:49977, sid=d05e0a39 
Tue Mar 12 22:58:11 2024 36.5.145.85:49977 WARNING: Failed to stat CRL file, not (re)loading CRL.
Tue Mar 12 22:58:11 2024 36.5.145.85:49977 VERIFY ERROR: depth=0, error=CRL has expired: CN=xuyubing
Tue Mar 12 22:58:11 2024 36.5.145.85:49977 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:c
Tue Mar 12 22:58:11 2024 36.5.145.85:49977 TLS_ERROR: BIO read tls_read_plaintext error
Tue Mar 12 22:58:11 2024 36.5.145.85:49977 TLS Error: TLS object -> incoming plaintext read error
Tue Mar 12 22:58:11 2024 36.5.145.85:49977 TLS Error: TLS handshake failed
Tue Mar 12 22:58:11 2024 36.5.145.85:49977 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 12 22:58:11 2024 36.5.145.85:49977 SIGUSR1[soft,tls-error] received, client-instance restarting

二、原因

Your certificate has expired! 也就是 证书过期了

情况1:服务器时间与客户端时间相差太多

解决办法:检查服务器时间,或者是ntp时间同步

 情况2:证书到了限制期限,默认服务端证书有效期为825天。

解决办法:重新生成证书进行替换。

步骤如下:

1、预修改,先备份,偷懒将openvpn所有全部都备份了一下
[root@openvpn openvpn]# cd /etc/ 
[root@openvpn etc]# cp openvpn openvpn20240312 -Rp
2、使用的是easy-rsa进行证书生成,删除旧的pki文件夹
[root@openvpn openvpn]# cd /etc/openvpn/easy-rsa 
[root@openvpn easy-rsa]# rm -rf pki 
[root@openvpn easy-rsa]# ./easyrsa init-pki
3、生成ca证书
[root@openvpn easy-rsa]# ./easyrsa --batch build-ca nopass
4、生成服务端证书(前面的环境变量代表证书超时天数为3650天):
[root@openvpn easy-rsa]# EASYRSA_CERT_EXPIRE=3650 ./easyrsa build-server-full server nopass
5、生成客户端证书:
[root@openvpn easy-rsa]# EASYRSA_CERT_EXPIRE=3650 ./easyrsa build-client-full client nopass
6、生成crl.pem文件:
[root@openvpn easy-rsa]# EASYRSA_CRL_DAYS=3650 ./easyrsa gen-crl
7、替换证书文件,将这些文件统一复制到/etc/openvpn:
[root@openvpn easy-rsa]# cp pki/ca.crt pki/private/ca.key pki/issued/server.crt pki/private/server.key pki/crl.pem /etc/openvpn/
8、为避免权限问题,将crl.pem的所有者改为nobody:
[root@openvpn easy-rsa]# chown nobody:nobody /etc/openvpn/crl.pem
9、生成OpenVPN所需的secret文件ta.key,并复制到相应路径:
[root@openvpn easy-rsa]# openvpn --genkey --secret ta.key 
[root@openvpn easy-rsa]# cp ta.key /etc/openvpn/
10、使用openssl命令验证证书有效性:
[root@openvpn easy-rsa]# cd /etc/openvpn/ 
[root@openvpn openvpn]# openssl verify -CAfile ca.crt -purpose sslserver server.crt 
server.crt: OK
11、重启OpenVPN服务,即可使OpenVPN加载新的证书文件。
[root@openvpn openvpn]# ps -ef|grep -v grep|grep openvpn |cut -c 9-15|xargs kill -9 
[root@openvpn openvpn]# /usr/sbin/openvpn --status /run/openvpn-server/status-server.log --status-version 2 --suppress-timestamps --config server.conf &
12、更新客户端.ovpn文件,替换新的 与等,即可重新连接
疯飙的蜗牛
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
open虚专网证书过期问题解决一例
whoami333的专栏
07-29 2932
centos7.5 openvpn2.4.7 easyrsa3.0 证书 过期 解决
VPN系统使用说明pdf
06-16
我校目前使用的VPN系统已经和我校的门户系统实现了用户集成工作, 校内门户系统的用户均可以使用门户系统的用户名和密码来使用VPN 系统。如在门户系统中对密码进行了修改,则登录VPN系统的时候也 需使用新的密码登录...
https证书文件
01-27
https证书解决当前由http切换到https的限定,可以更新
openvpn crl.pem证书过期问题
xpt211314的博客
09-22 2076
部署的openvpn,提供给员工访问内网使用;使用了大约大半年,一直很稳定,上周使用的时候,客户端连接不上了,显示一直重新连接(截图没有及时保留),重启了openvpn服务也不行。排除了客户端和服务器之间的网络问题,排除了客户端问题(因为发现所有的客户端连接都是这个问题),目标指向了服务端;
【HarmonyOS NEXT】鸿蒙https请求跳过证书校验
最新发布
wu1004019946的博客
06-18 1626
https请求前,进行自签名证书加载1.运行报错: error:{"code":2300060,"message":"SSL peer certificate or SSH remote key was not OK"},显示无法校验服务器身份,2. 导致这个错误码的原因可能有以下几种:服务器证书过期或者未被信任:如果服务器证书过期或者未被信任,客户端将无法验证证书的有效性,从而导致CURLE_PEER_FAILED_VERIFICATION错误。
基于NAS搭建VPN:一次失败的经历
羊城迷鹿的博客
05-04 1931
在选择 VPN 协议时,需要考虑多种因素,包括安全性、性能、兼容性和可配置性。在计算机网络和加密技术中,CSR(Certificate Signing Request)、CRT(Certificate)和KEY(Private Key)是几个关键的术语,它们在数字证书的生成和验证过程中扮演着重要角色。,也就是证书过期了,而VPN Server 是依赖了群晖设置中的证书,查看一下群晖证书,果然都过期了。在套件中心搜索VPN,点击VPN Server套件,参考。,尝试连接,可恶,居然报错了。
OpenVPN客户端连接问题排查
weixin_62834659的博客
03-12 4917
Windows客户端的日志在安装目录的log/文件夹下;Linux客户端的日志在/var/log/openvpn.log中。错误原因:SSL证书校验不通过。排查server端的证书是否正确下载,复制到客户端后的配置文件中证书路径是否正确。错误原因:网络不可达,客户端无法访问公网。通过查看客户端是否能够ping通公网,能否通过ssh访问。错误原因:客户端与服务端的时间节点不一致。错误原因:客户端与服务端的协议类型(TCP/UDP)或者端口不一致导致。错误原因:客户端用户密码不正确。
openXXX 证书有效期
简先生的研究记录
10-08 1107
修改vars 只对新生成的证书有效,默认的vars 是一年,可以在这里改
一分钟完美解决 Error: certificate has expired !
qq_63683610的博客
01-24 5483
一分钟完美解决 Error: certificate has expired !
“Debug certificate expired” error
演绎者
10-25 103
Upon installation, the Android SDK generates a "debug" signing certificate for you in a keystore called debug.keystore. The Eclipse plug-in uses this certificate to sign each application build that is...
解决证书过期问题
心想事成
12-27 5748
解决证书过期问题 当我们打开浏览器,出现证书过期的问题,多数情况是由于计算机的日期不正确造成的。 解决的方法,很简单,改正确就可以了。 如果经常出现,就可能是由于主板上的电池没电了,赶紧换一块。
某企业SSL_VPN深信服项目解决方案.doc
11-19
某企业SSL_VPN深信服项目解决方案.doc
小贝网络解决方案.pdf
10-13
- MSG系列具备强大的路由和安全性能,支持多融合性功能,如PPPOE、NAT网关、动态IP和静态IP设定,以及免费的IPSec和SSL VPN。 - WAC360/361系列支持无线路由安全,具有防钓鱼、防攻击的能力,以及行为审计和流量...
小贝网络解决方案.pptx
10-11
【小贝网络解决方案】主要针对一系列网络管理与优化问题提供了全面的解答,旨在解决企业在网络部署、维护和营销中面临的挑战。以下是对该方案的详细解读: 1. **痛点分析**: - 本地硬件和软件资源有限,限制了...
OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error
橙旭猿的专栏
05-08 529
【代码】OpenVPN Connect APP报错“Error message: Peer certificate verification failure”、“verify-x509-name error
基于 Open×××下的Lan2Lan
weixin_34273479的博客
11-05 207
基于 Open×××下的Lan2Lan 基于Open××× 下局域网到局域网 概述 配置Open××× 2.0的第一步是建立一个PKI(public key infrastructure 公钥基础设施),PKI包括: 服务端和每个客户端都有一个证书也称做公钥和私钥 一个认证机构(CA)的证书和私钥,用来为每一个服务端和客户端颁发证书(sign each of t...
OSCP认证考试指南
一杯咖啡的渗透记忆
02-24 6341
简介 第一节: 考试要求 文档要求 Exploit 代码 考试证据 控制面板提交 截图要求 考试限制 Metasploit 限制 第二节:考试信息 考试网络连接 考试控制板 靶机快照恢复 考试中proof文件 分值分配 取消得分 建议使用的报告模板 奖励积分 网络连接问题 联系方式 第三节:提交说明 提交格式和名称 压缩文件 提交上传 收到确认书 其他必要信息 结果 第四节 常见问题
SECURITY WARNING TLS certificate verification has been disabled!
热门推荐
勿忘初心
04-20 1万+
git pull时提示如下信息: jiankunking@pc MINGW64 /f/Code/Go/src/git.jiankunking.net/test/auth (dev) $ git pull warning: ----------------- SECURITY WARNING ---------------- warning: | TLS certificate verification has been disabled! | warning: -----------------------
openVPN生成客户端ca证书
05-25
要为 OpenVPN 生成客户端 CA 证书,您可以按照以下步骤操作: 1. 首先,在服务器上创建一个新的证书颁发机构(CA)。这可以通过以下命令完成: ``` cd /etc/openvpn/easy-rsa/ ./easyrsa init-pki ./easyrsa build-ca ``` 2. 接下来,生成一个客户端证书签名请求(CSR): ``` ./easyrsa gen-req client1 nopass ``` 3. 签名客户端证书签名请求: ``` ./easyrsa sign-req client client1 ``` 4. 将生成的证书和密钥文件复制到客户端计算机上。这些文件位于以下位置: ``` /etc/openvpn/easy-rsa/pki/ca.crt /etc/openvpn/easy-rsa/pki/issued/client1.crt /etc/openvpn/easy-rsa/pki/private/client1.key ``` 5. 在客户端上配置 OpenVPN 连接。在 OpenVPN 配置文件中,添加以下条目: ``` client dev tun proto udp remote [server-ip-address] [port] resolv-retry infinite nobind persist-key persist-tun ca /path/to/ca.crt cert /path/to/client1.crt key /path/to/client1.key ``` 6. 保存并关闭文件,然后启动 OpenVPN 连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

疯飙的蜗牛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值