2019 Apr. 06.
VERIFY ERROR: depth=0, error=CRL has expired: CN=xxxx
OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
$ cd YOUR/WORK/DIR/easy-rsa/easyrsa3
$ ./easyrsa build-ca
$ ./easyrsa gen-crl
パスフレーズを尋ねられるので、CA証明書のパスフレーズを入力する。
$ sudo cp ./pki/crl.pem /etc/openvpn/
$ sudo chmod o+r /etc/openvpn/crl.pem
$ sudo systemctl restart openvpn@server.service
OpenVPN接続失敗ログ
TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx.:pppp, sid=xxxxVERIFY ERROR: depth=0, error=CRL has expired: CN=xxxx
OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
対策
参考サイト( https://blog.cosnomi.com/archives/1031 )手順
OpenVPNをインストールした時のCA証明書(認証局証明書)生成時のパスフレーズを用意する。
次の要領でbuild-caコマンドを実行した時に入力したパスフレーズ$ cd YOUR/WORK/DIR/easy-rsa/easyrsa3
$ ./easyrsa build-ca
crl.pem(証明書失効リスト)の再生成
$ cd YOUR/WORK/DIR/easy-rsa/easyrsa3$ ./easyrsa gen-crl
パスフレーズを尋ねられるので、CA証明書のパスフレーズを入力する。
$ sudo cp ./pki/crl.pem /etc/openvpn/
$ sudo chmod o+r /etc/openvpn/crl.pem
OpenVPNの再起動
$ sudo systemctl restart openvpn.service$ sudo systemctl restart openvpn@server.service
