Raspbian - pivpn - crl expired :(

crazyman8 · Mai 28, 2018, 12:34

Bonjour à tous ,

Voila déjà un an que j’ai mis en place un serveur VPN sous Raspbian.

J’ai utilisé « PiVpn » et ça tournai plutôt pas mal. Depuis quelques jours, plus moyen de se connecter et cela est du apparemment au CRL (certificate revocation list) qui expire tous les ans.

LOG :

Mon May 28 13:45:30 2018 XX.XX.XX.XX.XX VERIFY ERROR: depth=0, error=CRL has expired: CN=remy
Mon May 28 13:45:31 2018 XX.XX.XX.XX.XX:39001 OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed
Mon May 28 13:45:31 2018 XX.XX.XX.XX.XX:39001 TLS_ERROR: BIO read tls_read_plaintext error
Mon May 28 13:45:31 2018 XX.XX.XX.XX.XX:39001 TLS Error: TLS object -> incoming plaintext read error
Mon May 28 13:45:31 2018 XX.XX.XX.XX.XX:39001 TLS Error: TLS handshake failed

J’ai bien trouvé la commande pour régénérer le CRL mais pas moyen de la faire fonctionner chez moi.

Commande utilisée :

openssl ca -gencrl -keyfile /etc/openvpn/easy-rsa/pki/private/server_akpA1hUb3wRFIMS7.key -cert /etc/openvpn/easy-rsa/pki/issued/server_akpA1hUb3wRFIMS7.crt -out /etc/openvpn/easy-rsa/pki/dh2048.pem

Erreur

Using configuration from /usr/lib/ssl/openssl.cnf
3066011648:error:02001002:system library:fopen:No such file or directory:…/crypto/bio/bss_file.c:74:fopen(’./demoCA/index.txt’,‹ r ›)
3066011648:error:2006D080:BIO routines:BIO_new_file:no such file:…/crypto/bio/bss_file.c:81:

Apparement j’ai un problème sur le fichier de config de OpenSSL. Etant donné que je ne sais pas lequel il faut prendre dans mon environnement, j’ai testé les 3 que j’ai trouvé :

root@VPN:/# find -name openssl.cnf
./etc/ssl/openssl.cnf
./usr/lib/ssl/openssl.cnf
./usr/share/doc/openvpn/examples/sample-keys/openssl.cnf

Puis j’ai lancé la commande de génération du CRL en passant en paramètre le nom de fichier de config de OpenSSL

Exemple :

openssl ca -gencrl -keyfile /etc/openvpn/easy-rsa/pki/private/server_akpA1hUb3wRFIMS7.key -cert /etc/openvpn/easy-rsa/pki/issued/server_akpA1hUb3wRFIMS7.crt -out /etc/openvpn/easy-rsa/pki/dh2048.pem -config ./usr/lib/ssl/openssl.cnf

Toujours la même erreur, peu importe le fichier utilisé.

Si quelqu’un peut me venir en aide ça serait vraiment sympas, mes connaissances sont limités en Linux et je n’ai plus trop d’idées.

Encore merci.

crazyman8 · Mai 28, 2018, 12:47

Je tiens à ajouter que je n’ai pas bricolé le fichier de configuration de OpenSSL , tout est ce qu’il y avait par défaut lors de l’installation initiale.