Openvpn промежуточный CA CRL Вопрос

Question

Openvpn промежуточный CA CRL Вопрос

Я создал CA и промежуточный CA, используя easy-rsa 2.0. На сервере Openvpn я использую промежуточный сертификат export_ca (согласно спецификации easy-rsa). Когда я аннулирую сертификат на своем промежуточном CA и копирую новый файл crl.pem на сервер openvpn, я получаю это сообщение:

CRL: CRL /etc/openvpn/crl.pem от другого эмитента, чем эмитент сертификата

Я прочитал всю документацию openvpn, но ничего не говорит об отзыве сертификата / пользователя с промежуточным CA. Функционально CRL работает - т.е. отозванный сертификат / пользователь не может подключиться.

Я уверен, что openvpn жалуется, потому что у него нет всей цепочки CA, но я не совсем уверен - кто-нибудь может объяснить, почему я это получил?

3

openvpn crl

Источник

Hilton D 04 окт '10 в 15:06

1 ответ

Решение

Другие вопросы по тегам openvpn crl

janjust 12 окт '10 в 14:17 2010-10-12 14:17 · Accepted Answer · 2010-10-12 14:17

Похоже , что вы нашли (незначительную) ошибку в openvpn. Вы должны иметь полную (общедоступную) цепочку CA на сервере, объединяя сертификаты CA и subCA вместе. Когда клиент подключается, процесс проверки проходит через всю цепочку и пытается найти соответствующий CRL. Поскольку нет никакого CRL для самого промежуточного CA, это сообщение напечатано, которое является поддельным.

То, что вы должны увидеть, это

CRL CHECK FAILED: [DN] is REVOKED

Пока вы видите, что сертификат, выданный промежуточным ЦС, отозван правильно.

НТН,

JJK