Сервер доступа OpenVPN - обнаружено предупреждение X509_V_ERR_CERT_HAS_EXPIRED, но срок действия сертификата еще не истек.

Это ответ, который я получил от службы поддержки OpenVPN -Требуется обновить мой промежуточный сертификат

Привет,

Проблема вы связались с нами по поводу проблемы с сертификатом, выданным COMODO/Sectigo Addtrust или какой-либо третьей-стороной, выдавшей их сертификаты. Если у вас возникли проблемы с сертификатами COMODO/Sectigo Addtrust, мы рекомендуем вам связаться с ними или с вашим эмитентом сертификата для поддержки их сертификатов.

Некоторые из наших клиентов выразили потребность в дальнейшей поддержке с нашей стороны. Наша политика в этом отношении заключается в том, что проблема на самом деле не в сервере доступа, а в сертификате или его комплекте ЦС. Он находится вне сервера доступа. Но мы можем дать вам несколько советов и ресурсов, которые могут помочь. Например, в ссылке на поддержку Sectigo есть упоминание о перекрестном-сертификате. Это позволяет использовать новый действительный сертификат и проверять его по старому корневому центру сертификации, срок действия которого не истек. Это можно сделать со стороны сервера, на котором установлены сертификат и пакет ЦС. Это включает в себя получение комплекта ЦС от поставщика сертификата и добавление к нему содержимого перекрестного-сертификата, найденного на веб-сайте Sectigo. Это позволяет клиенту SSL, пытающемуся пройти проверку, использовать старый корень ЦС, срок действия которого не истек. Поэтому, если вы являетесь системным администратором и сталкиваетесь с проблемами с этими сертификатами от COMODO/Sectigo AddTrust, вы можете рассмотреть этот вариант. Дополнительные ресурсы находятся ниже.

30 мая 2020 г. истек срок действия корневого сертификата ЦС от COMODO/Sectigo Addtrust. После этой даты,любые устаревшие системы, использующие этот корневой сертификат ЦС, будут давать сбой или отображать сообщение об ошибке, например, «срок действия сертификата истек» или «сертификат недействителен» при проверке сертификата, подписанного COMODO/Sectigo Addtrust.

В некоторых случаях может случиться так, что у вас может быть действительный сертификат, но поскольку срок действия корневого сертификата ЦС, к которому он привязан для проверки, истек, вы все равно получите сообщение о том, что срок действия сертификата истек или недействителен.

Дополнительную информацию о проблеме и возможных решениях можно найти здесь, на официальном веб-сайте Sectigo.: https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l00000117LT

У Sectigo есть другие, более старые, унаследованные корни, кроме корня AddTrust, и они создали перекрестные-сертификаты из одного в порядке для расширения обратной совместимости. Кросс-сертификат подписывается корнем, который называется «Сертификационные службы AAA». Клиентам, внедрившим AddTrust External CA Root в свои приложения или пользовательские устаревшие устройства, может потребоваться внедрить новую замену USERTrust RSA Root CA.

Старые серверы доступа могут содержать Устаревшая корневая информация ЦС. Чтобы решить эту проблему, вы можете обновить сервер доступа до последней версии, которая содержит самую актуальную-на-информацию.

Если у вас возникли проблемы с сертификатами COMODO/Sectigo Addtrust, мы рекомендуем вам связаться с ними или вашим эмитентом сертификата для получения поддержки по их сертификатам.

С уважением, Йохан Драайсма, Сервер доступа и руководитель основного проекта OpenVPN -Будьте в курсе последних событий в области безопасности.:https://openvpn.net/security-advisories/