Openvpn中間CACRL質問
Easy-rsa2.0を使用してCAと中間CAを作成しました。 Openvpnサーバーでは、中間証明書export_caを使用します(easy-rsa仕様による)。中間CAで証明書を取り消し、新しいcrl.pemファイルをopenvpnサーバーにコピーすると、次のメッセージが表示されます。
CRL:CRL /etc/openvpn/crl.pemは、証明書の発行者とは異なる発行者からのものです
私はすべてのopenvpndocoを読みましたが、中間CAで証明書/ユーザーを取り消すことについては何も話していません。機能的にはCRLは機能します。つまり、取り消された証明書/ユーザーは接続できません。
OpenvpnがCAチェーン全体を持っていないので文句を言っていると確信していますが、完全にはわかりません-なぜ私がこれを取得するのか誰かが説明できますか?
openvpnで(マイナーな)バグを見つけたようです。 CA証明書とsubCA証明書を一緒にスタックすることにより、サーバー上に完全な(パブリック)CAチェーンが必要です。クライアントが接続すると、検証プロセスはチェーン全体を通過し、一致するCRLを見つけようとします。中間CA自体のCRLがないため、このメッセージが出力されますが、これは偽物です。
あなたも見るべきものは
CRL CHECK FAILED: [DN] is REVOKED
中間CAによって発行された証明書が適切に取り消されていることがわかる限り。
HTH、
JJK