我试图通过 MacOS openvpn 应用程序连接到我公司的 openvpn 网络并点击警告“服务器 vpn.my_company.com 有一个不受信任的 SSL 证书。允许连接继续吗?”
单击“更多详细信息”时,原因表明“X509_V_ERR_CERT_HAS_EXPIRED:证书已过期”。但是我仍然可以选择连接
我从 OpenVPN 管理网页查看了更多信息,证书“验证结果”部分显示:
Web 证书/密钥验证结果。
证书信任警告:证书已过期
有效时间:2018.08.24 00:00:00 UTC
有效期至:2020.08.23 23:59:59 UTC -->未来几个月
我的证书是由 COMODO 颁发的,它的状态仍然有效。另外,当我通过网络浏览器访问 vpn.my_company.com 时,证书仍然可以,即没有关于过期证书的警告
知道为什么 OpenVPN 应用程序不断警告我证书过期吗?我通过 openvpn 应用程序的连接实际上是不安全的吗?或者我可以忽略警告?
非常感谢您对此的任何评论:)
这是我从 OpenVPN 支持收到的回复 - 要求我更新我的中间证书
你好,
您联系我们的问题与 COMODO/Sectigo Addtrust 颁发的证书或某些第三方颁发的证书有关。如果您在使用 COMODO/Sectigo Addtrust 证书时遇到问题,我们建议您联系他们或您的证书颁发者以获取有关他们证书的支持。
我们的一些客户表示需要我们提供进一步的支持。我们对此的政策是,此问题实际上不在访问服务器中,而是在证书或其 CA 捆绑包中。它在访问服务器之外。但我们可以为您提供一些建议和资源,但可以提供帮助。例如,在 Sectigo 支持的链接中,提到了交叉证书。这允许使用新的有效证书并针对未过期的旧 CA 根进行验证。这可以从安装证书和 CA 包的服务器端完成。它涉及从您的证书颁发者处获取 CA 捆绑包,并将 Sectigo 网站上的交叉证书内容添加到其中。这允许 SSL 客户端尝试验证以使用未过期的旧 CA 根。因此,如果您是一名系统管理员,遇到来自 COMODO/Sectigo AddTrust 的这些证书的问题,那么您可能需要考虑此选项。更多资源可在下面找到。
2020 年 5 月 30 日,COMODO/Sectigo Addtrust 的 CA 根证书过期。在该日期之后,任何使用此 CA 根证书的旧系统在验证由 COMODO/Sectigo Addtrust 签名的证书时都会遇到中断或显示错误消息,例如“证书已过期”或“证书无效”。
在某些情况下可能发生的情况是您可能拥有一个有效的证书,但由于它链接到的用于验证的 CA 根证书已过期,您仍然会收到一条消息,指出该证书已过期或无效。
有关该问题和可能解决方案的更多信息,请访问 Sectigo 官方网站: https ://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l00000117LT
除了 AddTrust 根之外,Sectigo 还有其他更旧的遗留根,它们从一个生成交叉证书以扩展向后兼容性。交叉证书由称为“AAA 证书服务”的根签名。将 AddTrust External CA Root 嵌入其应用程序或自定义旧设备的客户可能需要嵌入新的 USERTrust RSA CA Root 替代品。
较旧的访问服务器可能包含过时的 CA 根信息。要解决此问题,您可以将访问服务器更新到包含最新信息的最新版本。
如果您在使用 COMODO/Sectigo Addtrust 证书时遇到问题,我们建议您联系他们或您的证书颁发者以获取有关他们证书的支持。
亲切的问候,访问服务器和 OpenVPN 核心项目经理 Johan Draaisma - 了解最新的安全发展:https ://openvpn.net/security-advisories/