Я создал CA и промежуточный CA, используя easy-rsa 2.0. На сервере Openvpn я использую промежуточный сертификат export_ca (согласно спецификации easy-rsa). Когда я отзываю сертификат в моем промежуточном ЦС и копирую новый файл crl.pem на сервер openvpn, я получаю следующее сообщение:
CRL: CRL /etc/openvpn/crl.pem получен от другого эмитента, чем от эмитента сертификата
Я прочитал все документы openvpn, но ничего не говорит об отзыве сертификата / пользователя с промежуточным ЦС. Функционально CRL работает - т. Е. Отозванный сертификат / пользователь не может подключиться.
Я почти уверен, что openvpn жалуется, потому что у него нет всей цепочки CA, но я не совсем уверен - может ли кто-нибудь объяснить, почему я получаю это?
похоже, вы обнаружили (незначительную) ошибку в openvpn. У вас должна быть полная (общедоступная) цепочка CA на сервере путем объединения сертификатов CA и subCA. Когда клиент подключается, процесс проверки проходит через всю цепочку и пытается найти соответствующий CRL. Поскольку для самого промежуточного CA нет CRL, это сообщение печатается, что является поддельным.
Вы также должны увидеть
CRL CHECK FAILED: [DN] is REVOKED
Пока вы видите, что сертификат, выданный промежуточным центром сертификации, должным образом отозван.
HTH,
JJK