OpenVPN no pfSense: a verificação de CRL falha com profundidade de PKI 2

1

Eu criei uma estrutura OpenVPN site-a-site no pfsense 2.2 usando o gerenciador de certificados integrado e o seguinte:

  • Há uma autoridade de certificação raiz e uma autoridade de certificação intermediária da qual os certificados de servidor e de cliente são emitidos.
  • A cadeia completa é distribuída para o cliente OpenVPN.
  • O servidor tem a Autoridade de certificação de pares definida para a CA intermediária
  • O servidor tem o certificado do servidor definido para um certificado emitido a partir da CA intermediária
  • O servidor tem a CRL de parceiros definida para uma CRL criada a partir da CA intermediária
  • Os clientes se conectam e operam bem, mas os registros continuam a me dar:

... CRL /var/etc/openvpn/server3.crl-verify is from a different issuer than the issuer of ...

Eu tentei substituir o Peer CA e CRL pela CA raiz (na configuração do OpenVPN) e o mesmo ocorre. Eu tentei todas as combinações de certificados encadeados no lado do cliente. Mesma mensagem de log.

Alguma idéia do que está perdendo? Parece que não apenas a CRL não está sendo honrada, mas também não tem nenhum efeito.

    
por Will 03.02.2016 / 19:50

0 respostas