Author Topic: Certificado expirando antes do Prazo  (Read 2257 times)

Tiago

  • Zen Warrior
  • ***
  • Posts: 126
  • Karma: +11/-1
    • View Profile
Certificado expirando antes do Prazo
« on: April 20, 2020, 02:12:15 pm »
Bom dia pessoal, tive um problema com minha VPN, onde os usuários não conseguiam conectar e analisando os logs, aparecia o seguinte erro "Verificação do certificado falhou", após quebrar um pouco a cabeça, realizei a renovação dos certificados e baixei o arquivo de instalação com os novos certificados e funcionou, o estranho é que os certificados antigos, não estavam expirados pois os mesmo possuiam validade até 2030, alguém de vocês ja teve esse tipo de erro?

doncamilo

  • Zen Samurai
  • ****
  • Posts: 478
  • Karma: +165/-1
    • View Profile
Re: Certificado expirando antes do Prazo
« Reply #1 on: April 20, 2020, 09:55:15 pm »
 :)

Please, check these commands carefully before to use them in a production server: I recommend you to proceed in a test environment if you don't grasp what really these commands will do!

Check your logs /var/log/openvpn... Do you have some error like this one? 'CRL has expired'

In this case the cause is that OpenVPN revokes the certificates every 30 days. You can change this value ( default_crl_days= 30 ) in /var/lib/zentyal/conf/openssl.cnf by editing it with your prefered editor (as root) or by running this command:

Code: [Select]
# this command should change the default value from 30 days to 1 year
# before to run any command:
sudo cp /var/lib/zentyal/conf/openssl.{cnf,cnf.2}
sudo perl -pi -e 's/30/365/ if /default_crl_days= 30/' var/lib/zentyal/conf/openssl.cnf

Generate cert:

Code: [Select]
sudo openssl ca -gencrl -keyfile /var/lib/zentyal/CA/private/cakey.pem -cert /var/lib/zentyal/CA/cacert.pem -out /var/lib/zentyal/CA/crl/$(date +"%F")_crl.pem -config /var/lib/zentyal/conf/openssl.cnf
Configure the latest.pem symbolic link:

Code: [Select]
root@khazad-dum:/var/lib/zentyal# unlink /var/lib/zentyal/CA/crl/latest.pem
root@khazad-dum:/var/lib/zentyal# ln -s /var/lib/zentyal/CA/crl/2020-04-20_crl.pem /var/lib/zentyal/CA/crl/latest.pem

Check that 'latest.pem'  is a link to your new certificate and restart.

Cheers!
- Do my pigeons bother you passing over your land?
- They block the sun!

G. Guareschi., Don Camillo.,

Tiago

  • Zen Warrior
  • ***
  • Posts: 126
  • Karma: +11/-1
    • View Profile
Re: Certificado expirando antes do Prazo
« Reply #2 on: April 28, 2020, 07:03:19 pm »
Mas então aquela quantidade de dias que é colocada quando emito o certificado não é valida? Pois lá mostra validade até 2030

doncamilo

  • Zen Samurai
  • ****
  • Posts: 478
  • Karma: +165/-1
    • View Profile
Re: Certificado expirando antes do Prazo
« Reply #3 on: April 29, 2020, 11:55:25 am »
 :)

https://en.wikipedia.org/wiki/Certificate_revocation_list Revocation vs. expiration

Un saludo.
- Do my pigeons bother you passing over your land?
- They block the sun!

G. Guareschi., Don Camillo.,

Tiago

  • Zen Warrior
  • ***
  • Posts: 126
  • Karma: +11/-1
    • View Profile
Re: Certificado expirando antes do Prazo
« Reply #4 on: May 27, 2020, 01:09:11 pm »
Olá entendi a respeito da CLR, porém tentei realizar os procedimentos via linha de comando e não obtive sucesso, realizei com um editor de texto, alterando a default_crl_days= 30 para default_crl_days= 365, apenas fazendo isso já resolve?