openvpn链接失败-crl证书吊销

请注意日志中问题点：VERIFY ERROR: depth=0, error=CRL has expired

1. 为客户端与服务器时间不一致，检查后发现时间一致，没有问题

2. 随后怀疑可能是证书过期，检查CA、和Server证书后并没有过期

3. 最后定位到 CRL证书过期问题

关于CRL证书似乎已经过期;

，针对easyrsa配置文件easy-rsa/3/easyrsa，找到如下内容

EASYRSA_CRL_DAYS 过期导致VPN无法连接，随即修改

官方文档：https://community.openvpn.net/openvpn/wiki/CertificateRevocationListExpired

解决方法：

• 查看证书时间

[root@vpn server]# openssl x509 -noout -text -in server.crt 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            19:9d:6e:34:b3:94:7f:cd:5a:ed:d0:92:fd:a6:c1:33
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=ChangeMe
        Validity
            Not Before: May  4 10:28:50 2020 GMT
            Not After : May  2 10:28:50 2030 GMT

注意 ----- 》Not After

[root@vpn server]# openssl x509 -noout -text -in server.crt 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            19:9d:6e:34:b3:94:7f:cd:5a:ed:d0:92:fd:a6:c1:33
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=ChangeMe
        Validity
            Not Before: May  4 10:28:50 2020 GMT
            Not After : May  2 10:28:50 2030 GMT

注意 ----- 》Not After

​ 2种方法

​ 1) OpenVPN 2.4新证书撤销列表方法

​ 2) 注销掉vpn配置文件的crl证书选项

法1：

执行命令，重新生成CRL

cd /vpn的根目录

./easyrsa gen-crl #使用EasyRSA新的CRL可以生成

法2 ：

# vim /etc/openvpn/server.conf #可以ps看到配置文件位置

重启openvpn服务