OpenVPN CRL 有効期限切れで接続できない場合の対処

OpenVPN で CRL の有効期限が切れ、接続できなくなる場合の対処です。CRL は失効証明書リストであり、有効期限が切れると OpenVPN 2.4 以降では接続検証で問題になることがあります。

現象

VERIFY ERROR: depth=0, error=CRL has expired
TLS Error: TLS handshake failed

原因

easy-rsa の設定で CRL の有効期限が短い場合、`crl.pem` を作成してから期限を過ぎると OpenVPN が失効リストを信頼できず、接続を拒否します。

CRL 有効期限の確認

openssl crl -in /etc/openvpn/crl.pem -noout -nextupdate
openssl crl -in /etc/openvpn/crl.pem -noout -lastupdate

CRL の再生成

cd /etc/openvpn/easy-rsa
./easyrsa gen-crl
sudo cp pki/crl.pem /etc/openvpn/crl.pem
sudo chmod 644 /etc/openvpn/crl.pem
sudo systemctl restart openvpn-server@server

運用上の注意

CRL は一度作って終わりではなく、期限管理が必要です。証明書運用では、サーバー証明書、クライアント証明書、CA、CRL の期限をまとめて確認する仕組みを用意した方が安全です。

まとめ

OpenVPN の CRL 期限切れは、証明書自体が有効でも接続不能を引き起こします。定期的に CRL の nextUpdate を確認し、期限切れ前に再生成する運用にします。

Related posts:

CentOS 6 OpenVPN と Quagga のルーティングの問題 CentOS 6 OpenVPN VPN サーバー構築 CentOS 6 OpenVPN クライアント設定 VyOS Azure 版 OpenVPN OpenVPN の iPhone アプリ VyOS OpenVPN のログと証明書検証の注意点 OpenVPN MTU関連設定 OpenVPN パケットフォーマット VyOS OpenVPN Site-to-Site TLS 設定と MTU の考え方 OpenVPN tls-auth を活用したセキュリティ強化 CentOS 5 BIND 内部用 DNS サーバー構築 CentOS 5 基本的なネットワーク設定