Parece que versões posteriores do OpenVPN não entendem várias CRLs codificadas pelo PEM em um arquivo.
Se você editar seu arquivo CRL para que ele contenha apenas a CRL da CA de emissão do certificado de cliente, você verá que não receberá erros para depth=0 e, em vez disso, obterá um erro para depth=1 . Você provavelmente obterá os mesmos resultados se trocar a ordem das CRLs em seu arquivo atual.
Para resolver isso em versões posteriores do OpenVPN, você deve usar o --capath :
--capath dir
Directory containing trusted certificates (CAs and CRLs). Not available with mbed TLS.
Coloque todos os seus certificados de CA e as CRLs geradas por suas CAs em um diretório apontado pela opção --capath . Lembre-se de remover o --ca option .
Execute c_rehash <path to certs and CRLs> para gerar um hash dos certificados e suas CRLs.
Reinicie o OpenVPN e você deverá descobrir que seus logs não possuem avisos de CRL.
Observação: você nunca deve receber um aviso de CRL para depth=2 (sua autoridade de certificação raiz), pois ele será um certificado auto-assinado e uma CRL para um desses será inútil, porque seria assinado por si só. Mas parece que, se você omitir a CRL da CA raiz, ele mostrará um aviso de verificação para si mesmo ( depth=2 ), bem como o certificado emitido (a CA intermediária em depth=1 ). Deve mostrar apenas um aviso para o último.