Openvpn中间CA CRL问题

Question

我使用easy 2.0创建了一个CA和一个中间CA。在Openvpn服务器上，我使用中间证书export_ca (按照easy规范)。当我撤销我的中间CA上的证书并将新的crl.pem文件复制到openvpn服务器时，我得到以下消息：

CRL: CRL /etc/openvpn/crl.pem来自与证书颁发方不同的颁发方

我已经阅读了所有openvpn，但没有提到使用中间CA撤销证书/用户。从功能上讲，CRL起作用--即被撤销的证书/用户无法连接。

我很确定openvpn是在抱怨，因为它没有整个CA链，但不完全确定--有人能解释我为什么要这样做吗？

Answer 1

看来您在openvpn中发现了一个(小的) bug。通过将CA和subCA证书堆叠在一起，您应该在服务器上拥有完整(公共) CA链。当客户端连接时，验证过程贯穿整个链，并试图找到匹配的CRL。由于中间CA本身没有CRL，这条消息被打印出来，这是伪造的。

你也应该看到的是

CRL CHECK FAILED: [DN] is REVOKED

只要您看到中间CA颁发的证书被正确撤销。

HTH，

JJK