OpenVPNで無効な証明書を弾く設定
そういうのはDefaultで項目があるのかと思ったら無いのね。
crl-verify /etc/openvpn/crl.pem
crl.pemはnobody権限で読めないとならないため、keyと同じフォルダにあると
CRL: cannot read: /etc/openvpn/easy-rsa/2.0/keys/crl.pem: Permission denied (errno=13)
なんてエラーになったりします。
コピーして604とかに変更しておきました。
それと、crl.pem作成にあたり
# ./revoke-full client
をやるとエラーになってしまったのは
[ pkcs11_section ]
をコメントアウトしてしまうことで回避したのですが、良かったのか悪かったのか
まだ解らない。。。
(なんていい加減な)