OpenVPN: crl has expired

え、鍵は10年で作ったはずなのにな。とログを見たら、

crl has expired

と失効証明書の方が30日になってた。がびん。

easy-rsaの作業ディレクトリに行って、

bash
. ./vars
KEY_CN=gentei.org KEY_OU='GENTEI_ORG' openssl ca -config \
  openssl.cnf -updatedb -gencrl -crldays 3650 -out keys/crl.pem

で対処した。あー、CNとOU書いてなかったか。varsに足しておこう。