OpenVPN 訪問伺服器 - 遇到警告 X509_V_ERR_CERT_HAS_EXPIRED 但證書實際上尚未過期
我試圖通過 MacOS openvpn 應用程序連接到我公司的 openvpn 網路並點擊警告**“伺服器 vpn.my_company.com 有一個不受信任的 SSL 證書。允許連接繼續嗎?”**
點擊“更多詳細資訊”時,原因表明**“X509_V_ERR_CERT_HAS_EXPIRED:證書已過期”**。但是我仍然可以選擇連接
我從 OpenVPN 管理網頁查看了更多資訊,證書“驗證結果”部分顯示:
Web 證書/密鑰驗證結果。
證書信任警告:證書已過期
有效時間:2018.08.24 00:00:00 UTC
有效期至:2020.08.23 23:59:59 UTC –>未來幾個月
我的證書是由 COMODO 頒發的,它的狀態仍然有效。另外,當我通過網路瀏覽器訪問 vpn.my_company.com 時,證書仍然可以,即沒有關於過期證書的警告
知道為什麼 OpenVPN 應用程序不斷警告我證書過期嗎?我通過 openvpn 應用程序的連接實際上是不安全的嗎?或者我可以忽略警告?
非常感謝您對此的任何評論:)
這是我從 OpenVPN 支持收到的回复 - 要求我更新我的中間證書
你好,
您聯繫我們的問題與 COMODO/Sectigo Addtrust 頒發的證書或某些第三方頒發的證書有關。如果您在使用 COMODO/Sectigo Addtrust 證書時遇到問題,我們建議您聯繫他們或您的證書頒發者以獲取有關他們證書的支持。
我們的一些客戶表示需要我們提供進一步的支持。我們對此的政策是,此問題實際上不在訪問伺服器中,而是在證書或其 CA 捆綁包中。它在訪問伺服器之外。但我們可以為您提供一些建議和資源,但可以提供幫助。例如,在 Sectigo 支持的連結中,提到了交叉證書。這允許使用新的有效證書並針對未過期的舊 CA 根進行驗證。這可以從安裝證書和 CA 包的伺服器端完成。它涉及從您的證書頒發者處獲取 CA 捆綁包,並將 Sectigo 網站上的交叉證書內容添加到其中。這允許 SSL 客戶端嘗試驗證以使用未過期的舊 CA 根。因此,如果您是一名系統管理員,遇到來自 COMODO/Sectigo AddTrust 的這些證書的問題,那麼您可能需要考慮此選項。更多資源可在下面找到。
2020 年 5 月 30 日,COMODO/Sectigo Addtrust 的 CA 根證書過期。在該日期之後,任何使用此 CA 根證書的舊系統在驗證由 COMODO/Sectigo Addtrust 簽名的證書時都會遇到中斷或顯示錯誤消息,例如“證書已過期”或“證書無效”。
在某些情況下可能發生的情況是您可能擁有一個有效的證書,但由於它連結到的用於驗證的 CA 根證書已過期,您仍然會收到一條消息,指出該證書已過期或無效。
有關該問題和可能解決方案的更多資訊,請訪問 Sectigo 官方網站: https ://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l00000117LT
除了 AddTrust 根之外,Sectigo 還有其他更舊的遺留根,它們從一個生成交叉證書以擴展向後兼容性。交叉證書由稱為“AAA 證書服務”的根簽名。將 AddTrust External CA Root 嵌入其應用程序或自定義舊設備的客戶可能需要嵌入新的 USERTrust RSA CA Root 替代品。
較舊的訪問伺服器可能包含過時的 CA 根資訊。要解決此問題,您可以將訪問伺服器更新到包含最新資訊的最新版本。
如果您在使用 COMODO/Sectigo Addtrust 證書時遇到問題,我們建議您聯繫他們或您的證書頒發者以獲取有關他們證書的支持。
親切的問候,訪問伺服器和 OpenVPN 核心項目經理 Johan Draaisma - 了解最新的安全發展:https ://openvpn.net/security-advisories/