如何在 Linux 中解决 OpenVPN 连接失败问题？

解决 Linux 中 OpenVPN 连接失败的问题

概述

在 Linux 系统中配置 OpenVPN 连接时，您可能会遇到连接失败的问题，而 Windows 系统却可以正常连接。本文将探讨导致 Linux 客户端连接失败的原因，并提供解决该问题的全面方法。

问题分析

1. 证书验证错误：

Linux 客户端日志可能显示 "Certificate does not have key usage extension" 错误。这意味着 OpenVPN 服务器希望客户端证书具有特定的密钥用途，但证书中缺少此信息。

2. 密钥用途扩展：

证书中的密钥用途扩展指定证书可用于的预期目的。对于 OpenVPN，密钥用途应包括 "Digital Signature" 和 "Key Encipherment"。

3. 缺少密钥用途扩展：

在提供的客户端证书中，密钥用途扩展缺失。这可能是由于证书签发不当或证书颁发机构 (CA) 在签发期间未将其包含在内。

解决方案

1. 重新颁发客户端证书：

• 撤销现有客户端证书。
• 使用包含 "Digital Signature" 和 "Key Encipherment" 密钥用途扩展的 CA 颁发新客户端证书。

2. 修改现有客户端证书：

• 使用 OpenSSL 等工具修改现有客户端证书，并添加缺失的密钥用途扩展。

3. 配置 OpenVPN 服务器：

• 如果无法修改客户端证书，您可能需要配置 OpenVPN 服务器以允许没有密钥用途扩展的证书。注意： 出于安全考虑，不建议这样做。

实施

选项 1：重新颁发客户端证书

使用颁发原始证书的 CA：

openssl ca -revoke client.crt
openssl ca -sign -extensions user_ext -out client.crt client.csr

选项 2：修改现有客户端证书

使用 OpenSSL：

openssl x509 -in client.crt -text
# 在证书末尾添加以下行：
X509v3 Key Usage: critical
    Key Encipherment, Digital Signature
openssl x509 -out client.crt -req -signkey client.key -days 365

选项 3：配置 OpenVPN 服务器

在服务器配置文件（/opt/openvpn/conf/server_strict-ca.conf）中：

crl-verify off

注意： 此选项不推荐使用，因为它会降低安全性。

总结

通过将正确的密钥用途扩展添加到客户端证书或配置 OpenVPN 服务器以允许没有扩展的证书，您可以解决 Linux 客户端上的连接失败问题。请确保密钥用途扩展已正确配置，以提高安全性。

常见问题解答

1. 为什么我的客户端证书没有密钥用途扩展？

答：这可能是由于证书签发不当或 CA 在签发期间未将其包含在内。

2. 如何知道我的客户端证书中是否缺少密钥用途扩展？

答：使用 OpenSSL 查看证书信息，例如：openssl x509 -in client.crt -text

3. 我应该重新颁发客户端证书还是修改现有证书？

答：重新颁发证书是最安全的方法，但也可以通过修改现有证书来解决问题。

4. 我可以修改 OpenVPN 服务器配置以允许没有密钥用途扩展的证书吗？

答：可以，但出于安全考虑，不建议这样做。

5. 解决此问题后，我需要注意什么？

答：确保您的客户端证书已正确配置，并且密钥用途扩展已包含。还建议定期检查服务器和客户端配置的安全性。