Различия

Показаны различия между двумя версиями страницы.

--- itms_docs:study:it:ovpn_crl_pem_recreation [2020/11/02 03:48]
anton
+++ — (текущий)
@@ Строка 1: / Строка 1: @@
-=== Продление срока жизни файла отзыва сертификатов OVPN ===
-  *[[https://serveradmin.ru/oshibki-openvpn-crl-has-expired-i-crl-signature-failure/|Оригинальная статья]]
-  * Если файл отзыва был сгенерирован с параметрами по дефолту (в файле openssl-1.0.0.cnf, строка default_crl_days), то срок его жизни 30 дней, далее подключение клиентов по Ovpn будет прервано, в логах сервера будет фигурировать такая ошибка: error=CRL has expired, подключение будет остановлено на этапе:
-<code>
-  * Mon Nov 02 10:13:34 2020 VERIFY OK: depth=1, C=RU, ST=PK, L=VL, O=Edelweiss, OU=SRV, CN=SRV, name=CA, emailAddress=s@itbrigadir.ru
-  * Mon Nov 02 10:13:34 2020 VERIFY KU OK
-</code>
-как будто сертификат отозван.
-  * Нужно продлить срок файла отзыва. Для этого на локальном пк:
-    * Переходим в каталог c:\Program Files\OpenVPN\easy-rsa\
-    * Открываем файл openssl-1.0.0.cnf исправляем срок жизни в строке default_crl_days например на 1000 дней
-    * Из ДропБокса (e:\Dropbox\ITMS\OPENVPN__client_Config\14_Эдельвейс\files_for_certs\) копируем файлы для генерации сертификатов в каталог easy-rsa\keys
-    * Запускаем консоль переходим в каталог c:\Program Files\OpenVPN\easy-rsa\
-    * Команда vars
-    * Команда пересоздания файла отзыва
-<code>
-openssl ca -gencrl -keyfile "c:\Program Files\OpenVPN\easy-rsa\keys\ca.key" -cert "c:\Program Files\OpenVPN\easy-rsa\keys\ca.crt" -out "c:\Program Files\OpenVPN\easy-rsa\keys\crl.pem" -config "c:\Program Files\OpenVPN\easy-rsa\openssl-1.0.0.cnf"
-</code>
-    * Проверяем созданный файл отзыва, команда
-<code>
-openssl crl -inform PEM -in "c:\Program Files\OpenVPN\easy-rsa\keys\crl.pem" -text -noout
-</code>
-    * Копируем файлы обратно а ДропБокс с заменой
-    * Копируем файл отзыва из ДропБокса на проблемный сервер, проверяем соединение.