Home / VPN IPSEC / CRL has expired error on vpn log

CRL has expired error on vpn log

Se abbiamo configurato la VPN IPSEC per Iphone/Android oppure semplicemente una VPN che utlizza i certificati portemmo non essere in grado di instaurare il tunnel a causa di questo errore:
id=firewall time="2013-02-06 16:10:12" fw="U30S_DEMO" tz=+0100 startime="2013-03-06 16:10:12" error=2 phase=1 msg="Certificate with serial B4A70843 from issuer /C=IT/ST=Monza/L=Vimercate/O=tac/OU=tac/CN=netasqit/emailAddress=test@netasqit.it: CRL has expired"

Questo errore è dovuto al fatto che la CRL associata alla CA chiamata netasqit è scaduta.
Per verificare la data di scadenza e rinnovarre la CRL dobbiamo seguire questi passi:
  1. collegarsi al FW tramite WEBGUI e andare sotto  OBJECTS Certificates and PKI 
  2. selezionare la CA sulla quale stiamo ottenendo l'errore(nell'esempio sopra il CN è netasqit)  
  3. cliccare sul tab CRL e verificare il valore del campo Next update:
  4. il valore Next update dovrebbe riportare una data passata(vedi immagine qui sotto)
  5. rinnoviamo ora la CRL cliccando su Create a CRL

  6. inseriamo la password della nostra CA
  7. il FW rinnoverà la CRL e ci presenterà il link per scaricare la CRL sul nostro pc in caso dovessimo avere bisogno di distribuirla
  8. a questo punto ricontrollando il valore del campo Next update vedremo che la scadenza avrà una data futura.


Di Default la scadenza della CRL è settata a 30 giorni, questo valore può essere aumentato fino a 365 (basta andare sotto  OBJECTS Certificates and PKI → selezionare la CA su cui vogliamo modificare il valore → cliccare sul tab PROPERTIES ed aumentare il valore del campo chiamato CRL validity (days) : ).
Ovviamente aumentando la validità della CRL spostiamo solamente la frequenza del problema che sarà ogni anno e non ogni 30 giorni quindi, se vogliamo una soluzione definitiva basta creare un evento schedulato che rinnova la CRL ogni 30 giorni.
Ecco qui un esempio del tipo di evento schedulato/(clicca qui se vuoi maggiori informazioni su come si crea un evento schedulato) che dobbiamo creare:
[CRL-autorenew]
Description="Rinnova CRL ongi 30 giorni"
State=1
Timeout=10s
Start=01:00
Period=30d
Exec=echo "PKI CRL CREATE cname=YYYYYYYY passphrase=XXXXXXXX" | nsrpc -f admin:ZZZZZZZZ@127.0.0.1

Nell'esempio sopra al posto di:

  • YYYYYYYY dobbiamo mettere il nome della nostra CA(nel nostro caso netasqit)
  • XXXXXXXX la password della nostra CA
  • ZZZZZZZZ la password di admin del nostro FW



    Post a comment

    Your Name or E-mail ID (mandatory)

     

    Note: Your comment will be published after approval of the owner.



    		 RSS of this page
    Share

    Author: Netwhat   Version: 1.1   Last Edited By: Netwhat   Modified: 18 Jun 2013