Eu criei uma estrutura OpenVPN site-a-site no pfsense 2.2 usando o gerenciador de certificados integrado e o seguinte:
- Há uma autoridade de certificação raiz e uma autoridade de certificação intermediária da qual os certificados de servidor e de cliente são emitidos.
- A cadeia completa é distribuída para o cliente OpenVPN.
- O servidor tem a Autoridade de certificação de pares definida para a CA intermediária
- O servidor tem o certificado do servidor definido para um certificado emitido a partir da CA intermediária
- O servidor tem a CRL de parceiros definida para uma CRL criada a partir da CA intermediária
- Os clientes se conectam e operam bem, mas os registros continuam a me dar:
... CRL /var/etc/openvpn/server3.crl-verify is from a different issuer than the issuer of ...
Eu tentei substituir o Peer CA e CRL pela CA raiz (na configuração do OpenVPN) e o mesmo ocorre. Eu tentei todas as combinações de certificados encadeados no lado do cliente. Mesma mensagem de log.
Alguma idéia do que está perdendo? Parece que não apenas a CRL não está sendo honrada, mas também não tem nenhum efeito.