(Костыль, но РЕШЕНО) Обновить crl.pem в OpenVPN (Орёл)

yandaxx

New member
Сообщения
12
#1
===== Модераторы, перенесите тему в Common Edition плз ======
Всем привет. Помогите, никак не могу разобраться.

На домашнем ПК установил из репозитория Орла пакеты:

astra-openvpn-server
fly-admin-openvpn-server
easy-rsa
openvpn

Создал OpenVPN сервер. Сделал несколько сертификатов для пользователей. Работало всё норм. Через месяц ожидаемо истёк crl.pem и перестали подключаться клиенты. Подумал - не проблема, обновлю CRL, благо методы гуглятся. Однако, не тут то было. Не один из методов обновления crl.pem не работает. Ни с помощью openssl ни с помощь easyrsa.

#astra-openvpn-server -h тоже дает мало информации

Конечно, можно отключить лист отзывов, но не хочется оставлять доступ отозванному сертификату временного клиента. Если есть у кого опыт обновления crl.pem, не сочтите за труд, подскажите способ
 
Последнее редактирование:

yandaxx

New member
Сообщения
12
#2
Вообщем решил. Но какой же костыыыыыль!!!!!!

1. Поискал find-ом все файлы в корне с конфигурацией (openssl*.cnf) Какой используется для создания сертификатов так и не понял. Во всех исправил параметр default_crl_days с 30 на нужный (у меня 3650)
2. Создал сертификат фейкового пользователя
3. Переименовал существующий лист crl.pem в crl.pem.bak
4. Отозвал фейковый сертификат.

crl.pem вновь создался с 10 летним сроком. Может кому пригодится. Как напрямую обновить crl.pem так и не понял
 
Сообщения
53
#3
решение нашел такое:
вначале в файле openssl-1.0.0.cnf, что в каталоге /etc/openvpn/openvpn-sertificates нужно исправить срок действия сертификата, параметр:
default_crl_days= 365
Далее для исключения дальнейших ошибок внести дополнения в vars:
- строку раскомментировать
export KEY_CN="CommonName"
- строку внести - ее нет в дефолтной настройке:
export KEY_ALTNAMES="SERVER"
где SERVER - имя VPN-сервера.
далее, находясь в каталоге /etc/openvpn/openvpn-sertificates, выполнить команду:
cd /etc/openvpn/openvpn-sertificates
source vars
openssl ca -gencrl -keyfile keys/ca.key -cert keys/ca.crt -out keys/crl.pem -config openssl-1.0.0.cnf

и проверить срок действия вновь созданного ключа:
openssl crl -inform PEM -in keys/crl.pem -text -noout

Далее заменяем указанным ключом рабочий файл сертификата:
cp keys/crl.pem /etc/openvpn/keys/crl.pem

Далее рестартуется служба и все работает.
systemctl restart openvpn

решение работает и на Смоленске.
 
Последнее редактирование: