Zentyal Forum, Linux Small Business Server

International => Portuguese => Topic started by: Tiago on April 20, 2020, 02:12:15 pm

Title: Certificado expirando antes do Prazo
Post by: Tiago on April 20, 2020, 02:12:15 pm
Bom dia pessoal, tive um problema com minha VPN, onde os usuários não conseguiam conectar e analisando os logs, aparecia o seguinte erro "Verificação do certificado falhou", após quebrar um pouco a cabeça, realizei a renovação dos certificados e baixei o arquivo de instalação com os novos certificados e funcionou, o estranho é que os certificados antigos, não estavam expirados pois os mesmo possuiam validade até 2030, alguém de vocês ja teve esse tipo de erro?
Title: Re: Certificado expirando antes do Prazo
Post by: doncamilo on April 20, 2020, 09:55:15 pm
 :)

Please, check these commands carefully before to use them in a production server: I recommend you to proceed in a test environment if you don't grasp what really these commands will do!

Check your logs /var/log/openvpn... Do you have some error like this one? 'CRL has expired'

In this case the cause is that OpenVPN revokes the certificates every 30 days. You can change this value ( default_crl_days= 30 ) in /var/lib/zentyal/conf/openssl.cnf by editing it with your prefered editor (as root) or by running this command:

Code: [Select]
# this command should change the default value from 30 days to 1 year
# before to run any command:
sudo cp /var/lib/zentyal/conf/openssl.{cnf,cnf.2}
sudo perl -pi -e 's/30/365/ if /default_crl_days= 30/' var/lib/zentyal/conf/openssl.cnf

Generate cert:

Code: [Select]
sudo openssl ca -gencrl -keyfile /var/lib/zentyal/CA/private/cakey.pem -cert /var/lib/zentyal/CA/cacert.pem -out /var/lib/zentyal/CA/crl/$(date +"%F")_crl.pem -config /var/lib/zentyal/conf/openssl.cnf
Configure the latest.pem symbolic link:

Code: [Select]
root@khazad-dum:/var/lib/zentyal# unlink /var/lib/zentyal/CA/crl/latest.pem
root@khazad-dum:/var/lib/zentyal# ln -s /var/lib/zentyal/CA/crl/2020-04-20_crl.pem /var/lib/zentyal/CA/crl/latest.pem

Check that 'latest.pem'  is a link to your new certificate and restart.

Cheers!
Title: Re: Certificado expirando antes do Prazo
Post by: Tiago on April 28, 2020, 07:03:19 pm
Mas então aquela quantidade de dias que é colocada quando emito o certificado não é valida? Pois lá mostra validade até 2030
Title: Re: Certificado expirando antes do Prazo
Post by: doncamilo on April 29, 2020, 11:55:25 am
 :)

https://en.wikipedia.org/wiki/Certificate_revocation_list (https://en.wikipedia.org/wiki/Certificate_revocation_list) Revocation vs. expiration

Un saludo.
Title: Re: Certificado expirando antes do Prazo
Post by: Tiago on May 27, 2020, 01:09:11 pm
Olá entendi a respeito da CLR, porém tentei realizar os procedimentos via linha de comando e não obtive sucesso, realizei com um editor de texto, alterando a default_crl_days= 30 para default_crl_days= 365, apenas fazendo isso já resolve?