OpenVPN – Renew CRL (Certificate Revocation List)

In diversi precedenti articoli ho descritto come installare e configurare un server OpenVPN su Raspberry Pi. Purtoppo proprio nei giorni passati mi sono ritrovato nell’impossibilità di connettermi dall’esterno verso il mio server VPN domestico perchè i certificati che avevo erano scaduti. Purtroppo dall’esterno non ho potuto fare nulla e ho dovuto attendere di tornare a casa e di eseguire i sottostanti comandi per rinnovare i certificati (sudo -E /opt/EasyRSA-v3.0.6/easyrsa gen-crl).

Di default i sistemi OpenVPN prevedono un CRL di 365 giorni, al termine dei quali tutti i certificati OpenVPN in esso configurati cessano di funzionare (non vi faranno più connettere in VPN dall’esterno). Per estendere la validità dei nostri certificati consiglio di eseguire i seguenti comandi da terminale (previa connessione SSH verso il nostro server VPN):

export EASYRSA_CERT_EXPIRE=3650
export EASYRSA_CRL_DAYS=3650
cd /etc/openvpn/
sudo -E /opt/EasyRSA-v3.0.6/easyrsa gen-crl
sudo service openvpn restart

Così facendo verrà estesa la validità dei nostri certificati a 3650 giorni (10 anni!). Ovviamente è possibile sostituire il valore di 3650 con il numero di giorni che si vorrà adottare.

Per verificare se l’operazione è stata eseguita con successo (controllare la voce “Next Update”), eseguire il seguente comando:

sudo openssl crl -in /etc/openvpn/pki/crl.pem -text

Buon divertimento!