CRL has expired(OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE)

原创已于 2022-03-16 16:24:48 修改 · 3.5k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#ssl #服务器 #网络协议

于 2021-02-20 15:35:13 首次发布

软件专栏收录该内容

3 篇文章

订阅专栏

博客讲述了服务器突然出现所有客户端无法连接的问题，经过日志分析发现是CRL（证书撤销列表）过期导致的TLS握手失败。作者通过检查和更新CRL解决了问题，并调整了CRL的更新周期以防止类似问题再次发生。

程序一直使用都很正常，突然有一天所有客户端都无法连接，查看服务器日志后发现出现如下错误：

TLS: Initial packet from [AF_INET]19.10.5.11:51849, sid=ba13f8a4 4c4aec28
VERIFY ERROR: depth=0, error=CRL has expired: CN=client1
OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting

回想这段时间也没有对服务器端做过什么修改，只是大概一个月前吊销了一些不需要的证书，故使用如下命令查询一下CRL有效期，发现果然是CRL文件过期了

openssl crl -inform PEM -in keys/crl.pem -text -noout

一般情况下可以使用以下命令更新CRL列表，然后再将新的CRL列表复制到程序的目录既可

openssl ca -gencrl -keyfile keys/ca.key -cert keys/ca.crt -out keys/crl.pem -config openssl-1.0.0.cnf

默认情况下，CRL每30天更新一次。这在[CA_default]部分的配置如下所示：

default_crl_days= 30

为了避免相应的问题再次出现将其改为3650：

default_crl_days = 3650

改完配置后再用上面的命令重新生成CRL列表后覆盖程序目录下的文件再重启程序，客户端又可以正常连接了，至此问题解决。