-
Je viens de migrer ce serveur de jessie à stretch, parce que le support de la première n’est plus assuré, et parmi les trucs qui ne fonctionnaient plus, il y avait les connexions au serveur openvpn. En cause, la liste des certificats révoqués. Par défaut, cette liste est valable 30 jours et doit être renouvellée régulièrement. Comme je ne l’avais jamais fait, sa date de renouvellement se trouvait dans le passé, ce qui est désormais refusé par openvpn 2.4 et on a ce message d’erreur :
VERIFY ERROR: depth=0, error=CRL has expired:
Il faut donc la regénérer et pour éviter ce problème, j’ai modifié le nombre de jours de validité de la CRL à 10 ans(…) dans le fichier de configuration d’openssl (default_crl_days= 3650
dans openssl.cnf) utilisé par easy-rsa et passé la commande suivante :
KEY_ALTNAMES= KEY_CN=mon.serveur openssl ca -gencrl -keyfile keys/ca.key -cert keys/ca.crt -out keys/crl.pem -config ./openssl.cnf