Dotaz: ovenvpn zo stareho servera a chyba CRL

Zdravim Prehadzoval som openvpn konfiguraciu zo stareho servera na novy a nefunguje mi pripojenie klienta. Pise chybu na CRL ale neviem aku. Pokial v konfigu zrusim kontrolu CRL, tak to ide. Crl.pem je robene este s md5, ci nie je problem s tym a ako to teraz narychlo vyriesit. Budem musiet spravit nanovo nove certifikaty, ale teraz to narychlo potrebujem vyriesit a nove spravim neskor. vypis crl pise

Signature Algorithm: md5WithRSAEncryption

Ako dostat z openvpn/ssl podrobnejsiu informaciu, co sa mu nepaci?

log openvpn:

VERIFY ERROR: depth=0, error=CRL signature failure: C=SK, ST=NA, O=Firma s.r.o., CN=meno priezvisko, emailAddress=webmaster@firma.sk, serial=3
OpenSSL: error:1417C086:SSL routines:tls_process_client_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
SIGUSR1[soft,tls-error] received, client-instance restarting

md5 podpora byla dropnutá v roce 2018 a bylo to hlášeno hafec let předem. Jinými slovy, máš asi tak 5-6 let zpoždění.
Údajně pomůže na straně klienta toto: option tls-cipher 'DEFAULT:@SECLEVEL=0'
Na straně serveru nevím.
Pokud potřebuješ asap řešení pro všechny klienty, udělej revert a vrať se ke starší verzi OpenVPN serveru.
Zdar Max

This one was trickier to solve. It turns out that you can re-enable MD5 as a workaround using two environment variables:
NSS_HASH_ALG_SUPPORT=+MD5
and
OPENSSL_ENABLE_MD5_VERIFY=1

In my case, I just added them to openvpn init script because the system is going to be decommissioned soon.