По неведомой причине, без каких-либо вмешательств, перестали подключаться клиенты к OpenVPN-серверу PFSENSE 2.6.0-RELEASE (amd64). Анализ логов показал ошибку CRL has expired, хотя по факту до просрочки этого списка еще очень далеко
Sep 1 10:02:17 openvpn 94243 11.22.33.44:1194 VERIFY ERROR: depth=0, error=CRL has expired: CN=user@domain.ru, C=RU, ST=KRR, L=KRD, O=DOMAIN.RU, OU=IT, serial=24
Sep 1 10:02:17 openvpn 94243 11.22.33.44:1194 OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
Sep 1 10:02:17 openvpn 94243 11.22.33.44:1194 TLS_ERROR: BIO read tls_read_plaintext error
Sep 1 10:02:17 openvpn 94243 11.22.33.44:1194 TLS Error: TLS object -> incoming plaintext read error
Sep 1 10:02:17 openvpn 94243 11.22.33.44:1194 TLS Error: TLS handshake failed
Пересоздание CRL проблему не решило, отключение проверки Peer Certificate Revocation list проблему конечно решает, но тогда нет возможности “блокировки неугодных”. Ответ был найден на форуме forum.netgate.com
Первым делом нужно добавить пакет System_Patches в PFSENSE. Делается просто через GUI: System / Package Manager / Available Packages
Далее, так же System / Patches добавить патч по хэшу a3c1589086ea67d25a28ec14ab95d7fd9ab25fa2
После добавления сделать Fetch и Apply
Патч исправляет ошибку проверки срока годности CRL-списка отзывов сертификатов и клиенты нормально подключаются к OpenVPN серверу.