Conceder-revocar-credenciales-de-acceso-a-servidor-OpenVPN.md

@@ -118,3 +118,18 @@ Si se desea reenviar estas credenciales al usuario por alguna razón, existe la
 openvpn_send_force:
   - usuario03
 ```
+
+## "Certificado vencido"
+
+Nos ha sucedido que el VPN deje de funcionar. Luego de análisis, esto es debido a la expiración del CRL, Lista de Revocación de Certificados. En [esta tarea del gestor de incidentes](https://soporte.interior.edu.uy/front/ticket.form.php?id=20190) resolvimos el problema y evitamos que se vuelva a plantear por 2 años corriendo: 
+
+```
+root@pulperia:/etc/openvpn/keys# openssl crl -inform PEM -text -noout -in crl.pem 
+Certificate Revocation List (CRL):
+Version 2 (0x1)
+Signature Algorithm: sha256WithRSAEncryption
+Issuer: CN = ChangeMe
+Last Update: Apr 25 18:17:45 2022 GMT
+Next Update: Apr 9 18:17:45 2025 GMT
+```
+NB: En realidad, no usamos la CRL. Y es normal que tenga un tiempo de certificación corto, porque siempre se puede agregar algún certificado comprometido. 
\ No newline at end of file