我使用easy-rsa 2.0创build了一个CA和一个中间CA. 在Openvpn服务器上,我使用中间证书export_ca(按照easy-rsa规范)。 当我在中级CA上吊销证书并将新的crl.pem文件复制到openvpn服务器时,我收到以下消息:
CRL:CRL /etc/openvpn/crl.pem来自与发行者不同的发行者
我已经通读了所有的openvpn doco,但没有谈到使用中间CA撤消证书/用户。 在function上CRL的作品 – 即被吊销的证书/用户不能连接。
我非常确定,openvpn抱怨因为它没有整个CA链,但我不完全确定 – 任何人都可以解释为什么我得到这个?
看起来像你在openvpn中发现了一个(小)错误。 您应该通过将CA和subCA证书堆叠在一起来在服务器上拥有完整的(公共)CA链。 当客户端连接validation过程贯穿整个链,并试图find一个匹配的CRL。 由于中间CA本身没有CRL,所以这个消息被打印,这是伪造的。
你应该看到的也是
CRL CHECK FAILED: [DN] is REVOKED 只要你看到由中间CA发布的证书被正确地撤销了。
HTH,
JJK