openvpn – OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed

В один из дней при подключению к openvpn-server возникла ошибка:

VERIFY ERROR: depth=0, error=CRL has expired
OpenSSL: error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed

это ошибка связана со списком отзыва просроченых сертификатов – список CRL.

Что бы убедиться в этом, достаточно закоментировать строку и перегрузить сервис

# cat /etc/openvpn/server.conf

# Проверка, не отозван ли сертификат клиента
#crl-verify /etc/openvpn/crl.pem

# systemctl restart openvpn@server

если все нормально – значит нужно разбираться с этим списком.

Обновляем список

По умолчанию,  продолжительность жизни списка отзывов сертификатов crl.pem равна 180 дням, за это отвечает переменная:

# cat /etc/openvpn/keys/easy-rsa-master/easyrsa3/vars

#set_var EASYRSA_CRL_DAYS 180

Поэтому, по истечению срока указанного в vars, нужно будет обновить список (понадобится парольная фраза для доступа к приватному ключу ca.key удостоверяющего центра):

# cd /etc/openvpn/keys/easy-rsa-master/easyrsa3/
# ./easyrsa gen-crl
# cp ./pki/crl.pem /etc/openvpn/crl.pem
# systemctl restart openvpn@server

https://mdex-nn.ru/page/openvpn-crl-has-expired.html