• Оригинальная статья
• Если файл отзыва был сгенерирован с параметрами по дефолту (в файле openssl-1.0.0.cnf, строка default_crl_days), то срок его жизни 30 дней, далее подключение клиентов по Ovpn будет прервано, в логах сервера будет фигурировать такая ошибка: error=CRL has expired, подключение будет остановлено на этапе:

  * Mon Nov 02 10:13:34 2020 VERIFY OK: depth=1, C=RU, ST=PK, L=VL, O=Edelweiss, OU=SRV, CN=SRV, name=CA, emailAddress=s@itbrigadir.ru
  * Mon Nov 02 10:13:34 2020 VERIFY KU OK

как будто сертификат отозван.

• Нужно продлить срок файла отзыва. Для этого на локальном пк:
  • Переходим в каталог c:\Program Files\OpenVPN\easy-rsa\
  • Открываем файл openssl-1.0.0.cnf исправляем срок жизни в строке default_crl_days например на 1000 дней
  • Из ДропБокса (e:\Dropbox\ITMS\OPENVPN__client_Config\14_Эдельвейс\files_for_certs\) копируем файлы для генерации сертификатов в каталог easy-rsa\keys
  • Запускаем консоль переходим в каталог c:\Program Files\OpenVPN\easy-rsa\
  • Команда vars
  • Команда пересоздания файла отзыва

openssl ca -gencrl -keyfile "c:\Program Files\OpenVPN\easy-rsa\keys\ca.key" -cert "c:\Program Files\OpenVPN\easy-rsa\keys\ca.crt" -out "c:\Program Files\OpenVPN\easy-rsa\keys\crl.pem" -config "c:\Program Files\OpenVPN\easy-rsa\openssl-1.0.0.cnf"

• Проверяем созданный файл отзыва, команда

openssl crl -inform PEM -in "c:\Program Files\OpenVPN\easy-rsa\keys\crl.pem" -text -noout

• Копируем файлы обратно а ДропБокс с заменой
• Копируем файл отзыва из ДропБокса на проблемный сервер, проверяем соединение.