安全更新（CVE-2025-13086）：
OpenVPN 访问服务器核心使用 OpenVPN 2 代码库进行 VPN 连接。OpenVPN 访问服务器 2.11.0 到 3.0.1 包含了包含漏洞的 OpenVPN 2.6 副本。这涉及远程拒绝服务（DoS）攻击。
为了触发远程拒绝服务攻击，攻击者需要一个有效的客户端密钥，该密钥可以作为连接配置文件的一部分，或者能够在握手网络流量发生时监控和控，并以特定方式修改流量，从而触发状态耗尽，使服务器停止接受新连接。
数据的完整性或机密性、加密/认证从未受到任何损害，也没有远程执行或权限升级的升级路径。这纯粹是一个拒绝服务漏洞。

向 sacli support 命令添加了其他输出，以包括 IP 信息和 CPU 内核计数。
添加了对 AWS 区域（亚太地区台北、马来西亚、泰国和墨西哥）的 AWS 分层许可模式的支持。
添加了对私钥密码的支持，以检查私钥 REST API 终结点。
向身份验证处理和日志记录添加了WEB_ADMIN，以区分管理员级登录。
向 sacli 添加了令牌处理，因此集群节点之间的 API 调用不需要管理员级别的帐户。
添加了验证，以阻止管理员用户通过阻止他们所在的组来阻止自己。
在 API 和 Web 服务器证书页面添加了证书颁发者信息。
添加了验证以确保证书颁发机构名称在 VPN 服务器证书页面上是唯一的。
为本地身份验证的用户添加了一个新的密码字段，使其返回到用户设置页面。
在 SAML 用户上启用本地 MFA 时添加了警告图标;MFA 应改为在 SAML IdP 上处理。
修复了当 RADIUS 服务器是主机名而不是 IP 时未验证消息验证器摘要的问题。
修复了不适用于组权限的prop_reroute_gw_override回归问题。
修复了集群模式下的 DCO 启用设置为集群范围的设置，而不是每个节点的设置。
修复了未记录被阻止帐户的 SAML 身份验证失败消息。
修复了在 Connect v3 中使用“服务器覆盖”选项时的 SAML 身份验证失败。
修复了 base64 SAML 断言包含 + 符号时 SAML 身份验证失败的问题。
修复了 SAML 在 IdP 发起的登录时为空时的无效中继状态。
修复了 SAML 服务提供商 URL 不允许指定自定义 Web 服务端口的问题。
修复了加载新元数据 XML 文件时未清除的 SAML 设置的问题。
修复了保存按钮始终处于活动状态的问题，即使 SAML 配置页面上没有更改。
修复了用户名留空时密码更改 REST API 端点的内部服务器错误。
修复了查询 RADIUS 设置时在配置文件列表 REST API 端点上返回过多项目的问题。
修复了不包含自定义 Web 服务端口的令牌 URL。
修复了按序列号搜索 VPN 客户端证书的问题。
修复了在组概览中分配给默认组的用户计数。
修复了在活动日志中显示通过 SAML 进行身份验证的用户的真实 IP 地址的问题。
修复了在替换 Web 证书时需要命令行级别重新启动的群集节点。
修复了今天过期（因此仍然有效）的修复许可证密钥未显示在概述中的问题。
修复禁用活动日志日志数据库时日志文件中显示的错误信息。
修复了当 vpn.server.enable_cipher_fallback 为 true 时未在服务器配置中设置 data-ciphers-fallback 的问题。
修复了 sacli disconnectclient 不适用于 –cn 或 –filter_by user/cn 的问题。
修复了 CLIENTS_PKG_VERSION 文件丢失时 EULA 未按预期显示的问题。
修复了 confdba-ulf 工具无法将配置转储读回默认配置文件的问题。
修复了 Proto（col） 值未显示在活动日志中的问题。
修复了将 SQLite 转换为 MySQL 时数据库凭据中特殊字符的处理。
修复了 AWS 分层许可问题，即 4 台许可服务器中只有 2 台可以访问。
修复了在 Red Hat 8作系统上当用户超过 1000 个时不显示访问控制规则的问题。
修复了身份验证后脚本未接收 RADIUS 回复数据以实施用户属性调整的问题。
修复了当 userprop REST API 端点上存在组 IPv6 子网时未删除组 IPv4 子网的问题。
修复了 VPN 客户端网关具有静态 IP 且使用 DCO 时站点到站点路由的问题。
修复了在客户端 Web 服务器上重新启用适用于 macOS 和 Windows 的 Connect v3 产品/服务的问题。
修复了 Web 证书页面上主机名设置与 Web 证书不匹配的警告。
修复了即使未上传 CA 捆绑包，CA 捆绑包上传也标记为正常的问题。
修复了 Web 服务器证书页面上未清除的“密钥和证书”不匹配错误。
修复了 Web 服务器证书页面上缺少 Web 证书过期消息的问题。
修复了错误上传的自签名 Web 证书，未显示为用户提供的证书的问题。
修复了静态 IP 地址池设置，该设置在集群模式下错误可见。
修复了在集群模式下错误可见的客户端间通信设置。
修复了有关创建集群时丢失本地用户配置的错误警告消息。
修复了 OpenVPN 客户端证书要求设置中损坏的“在此处了解更多”链接。
修复了 OpenVPN 客户端证书要求设置，该设置在外部 PKI 模式下错误可见。
修复了 Internet Access 和 DNS 选项卡在桥接模式下错误可见的问题。
修复了 VPN 客户端证书页面上按用户名功能中断的搜索问题。
修复了一些缺失的指示器，表明某些设置是集群模式下的每个节点设置。
修复 VPN 客户端证书页面的无效日期问题。
修复了在仅允许 TLS Crypt v2 时错误显示的下载非 TLS Crypt v2 配置文件的选项。
修复了禁用 LDAP 认证方法时无法清除 LDAP 设置的问题。
修复了当自定义 HTTP 标头值包含冒号时无法在 Web 界面上正确显示的问题。
修复了仅使用 TCP 或仅使用 UDP 进行 VPN 服务器设置时端口设置不保存的问题。
修复了集群配置数据库中显示的值显示的不正确源的问题。
修复了在禁用推送 DNS 服务器时错误地不显示默认域后缀设置的问题。
修复了打开带有过期令牌的 Web 界面时弹出的“会话过期”消息的问题。
修复了 Web 界面上包含百分比 （%） 符号的用户名的处理。
修复了在组设置中无法删除组的最后一个子网的问题。
修复了当日志中存在某些编码字符时，“活动日志”页面不显示任何结果的问题。
改进了 Web 界面各个区域的各种过滤和排序。
改进了 Access Server 各个区域的错误处理和验证。
改进了 Diffie-Hellman 设置，不再默认为有限场参数。
改进了对可用 CPU 内核的检测。
改进了在客户端 Web 服务器上更改密码期间输入错误密码时显示的错误消息。
改进了删除包含用户的组时显示的消息。
改进了将双向互连规则显示为单个项目而不是两个单独项目的功能。
通过禁止为新用户或组选择错误的身份验证系统来改进行为。
通过更频繁地刷新会话令牌来改进 Web 会话超时行为。
改进了 Web 界面上的激活流程。
通过自动将输入焦点放在 MFA 输入字段上来改进 MFA 身份验证页面。
删除了现在未使用的sa.session_expire配置密钥支持。

重要提示：
这是一个主要版本，具有从头开始构建的全新 Web 界面。建议在关键生产环境中部署之前，先在测试环境中对其进行测试。如果遇到任何问题，请继续使用 2.14.3 版本并通知我们，以便我们在后续版本中解决该问题。
放弃了对 Ubuntu 20.04 LTS作系统的支持。该作系统的标准支持已于 2025 年 5 月终止。
由于许可冲突，我们从 MySQL 客户端库切换到 MariaDB 客户端库。从理论上讲，根据我们的测试，外部数据库连接应该继续像使用新库之前一样工作。
为了提供更安全的默认配置，默认情况下，在新安装的 Access Server 上将禁用服务器锁定配置文件。为了保持与现有配置的向后兼容性，服务器锁定的配置文件在更新时将保持启用状态。对于那些想要使用它们的人，仍然可以启用服务器锁定的配置文件。
集群设置中节点之间的通信不再通过专用的 TCP API 端口（端口 TCP 945 的默认值）完成，而是通过管理 UI Web 服务上的 REST API 完成。特殊的“admin_c”用户及其相应的 API 身份验证证书现已过时，并将在升级期间自动删除。
删除了基于 VPN IP 地址的自动用户组分配功能。
删除了从 Web 界面管理服务器配置文件的功能。
3.0.0 中的一个已知问题是，对管理 Web UI 的登录记录在 WEB_CLIENT 服务下，而不是 WEB_ADMIN 服务下。此问题已在 3.0.1 中得到解决。
3.0.0 中的一个已知问题是 sacli cluster 命令要求使用“openvpn”用户（或其他管理员用户）。此问题已在 3.0.1 中得到解决。
3.0.0 中的一个已知问题是，如果用户名中出现 % 符号，则 Web 界面无法正常工作。此问题已在 3.0.1 中得到解决。
已知问题：Web UI 自定义徽标品牌尚未完全实现。这将在将来的版本中解决。
自 3.0.0 以来的一个已知问题是，不再支持 as.conf 中数据库连接字符串中未转义的特殊字符。
3.0.0 中的一个已知问题是，如果 base64 SAML 断言中存在 + 字符，则 SAML 身份验证将失败。此问题已在 3.0.1 中得到解决。
新功能：
一个全新的管理 Web 界面，具有多项改进。
扩展的 REST API 以支持新的管理 Web UI。
登录屏幕现在将 SAML 显示为默认登录选项，但该选项是默认的。
为 Web 服务添加了新的基于令牌的身份验证。
添加了 sacli 命令行工具生成 Web 服务令牌的功能。
添加了使用 SAML 身份验证登录到管理 Web UI 的功能。
添加了用于从管理 Web UI 管理内置 MFA 的控件。
添加了通过配置设置启用的内置 REST API 文档。
通过配置设置添加了对 nftables 的实验性支持。
新增跨域资源共享标头的配置设置。
添加了打开/关闭服务器锁定配置文件功能的功能。
在激活屏幕中添加了订阅 ID，以便轻松识别订阅。
添加了订阅中其他服务器使用的连接的显示。
在浏览器支持的情况下，添加了发送网页资产的压缩。
向管理 Web UI 添加了配置编辑器和支持数据收集工具。
在 sacli 状态输出中添加了警告类型的消息。
错误修复和改进：
由于许可冲突，从 MySQL 切换到 MariaDB 库。
将 Twisted 库更新到 24.11.0。
将 OpenVPN2 核心更新为 2.6.14as1。
将 FastAPI 更新至 0.115.8。
将 Starlette 更新至 0.44.0。
更新了 Python3 IDNA 包以解决安全问题 CVE-2024-3651。
修复了 SAML 中继状态 javascript 注入安全问题 CVE-2025-50055。
修复了切换到另一个集群节点时触发的 SAML 重新身份验证。
修复了存在多个证书时的 SAML IdP 元数据解析。
修复了 certool 的证书吊销列表功能。
修复了外部 PKI 模式的证书吊销列表功能。
修复了对 PAM、RADIUS 和 LDAP 使用不正确的凭据时日志中的消息。
修复了管理 Web UI 无法感知用户上定义user_auth_type的问题__DEFAULT__。
修复了在某些登录错误行为后可能停止后端日志记录的问题。
修复了活动日志中的连接持续时间排序。
修复了使用 Web 界面时在 CLI 上设置的用户属性被删除的问题。
修复了使用深度链接时绕过 EULA 弹出窗口的可能性。
修复了使用post_auth脚本时在登录页面上显示网站链接的功能。
修复了在 Ubuntu 24.04 上进行数据库转换时性能不佳的问题。
修复了新令牌 URL 配置文件上的 TLS Crypt v2 标志，而控制通道安全性为“无”。
修复了 TOTP 注册阶段的 TOTP 重放保护错误。
修复了在 VPN 身份验证期间发送过长凭据时出现的数据通道错误消息。
修复了 Web 服务日志输出中的“任务已销毁”错误消息。
修复了 sacli activeconfig 命令，使其显示所有配置值。
修复了执行 ovpn-init 时 licenses 子文件夹上的 chown 错误消息。
修复了post_auth脚本尝试传递过多用户属性时身份验证失败的问题。
修复了使用“override-username”OpenVPN 指令时用户名的不正确长度限制。
修复了自定义 HTTP 标头不适用于 Web 服务上的某些特定文件/路径的问题。
EULA 已更新，以包含新 Web 界面的依赖项。

修复了安全问题 CVE-2025-2704。
Access Server 版本 2.11.0 到 2.14.2 受到影响。
将 DCO 模块更新到版本 0.2.20250520。
发布捆绑客户端包 v34，包括适用于 Windows 的 OpenVPN Connect v3.7.2.4253 和适用于 macOS 的 OpenVPN Connect v3.7.1.5558。

在新的客户端 Web UI 上添加了对非拉丁字符的重新支持。
在外部 PKI 模式下，将 EPKI 通用自动登录连接配置文件下载和捆绑选项添加到新的客户端 Web UI。
在 EPKI 通用配置文件中添加了 auth-user-pass 指令，以便开源 OpenVPN2 客户端可以更轻松地连接。
添加了直接在 OpenVPN Connect 中导入 EPKI 通用和 EPKI 自动登录连接配置文件的功能。
修复了用户权限页面因用户数量较多而速度较慢的回归问题。
修复了日志报告部分可能停止记录新事件的错误。
修复了处理接口别名的错误。
修复了注册和首次登录可以使用相同的 MFA 代码的错误。
修复了运行 ovpn-init 时的（良性）语法警告消息。
修复了在 Linux 内核 6.12 上构建 DCO 内核模块时的错误。
修复了启用 DCO 的站点到站点路由可能无法路由流量的错误。
改进了触发器prop_reroute_gw_override以便在用户属性发生更改时自动重新连接用户。
改进了客户端 Web UI 中 TLS Crypt v2 设置的处理。
改进了 sacli activeconfig 命令，以默认隐藏特定的高级设置。
通过 OpenVPN 端口共享改进了传入 Web 请求的日志记录，以显示请求的真实 IP。
改进了 MFA 注册，以便在成功注册后，无需注销并重新登录。
改进了直接访问 SAML 端点时的错误消息。
删除了对 sqlalchemy-migrate 包的依赖，该包解决了 Ubuntu 24.04 上日志中的语法警告。
发布捆绑客户端包 v33，包括适用于 Windows 的 OpenVPN Connect v3.6.0.4074 和适用于 macOS 的 OpenVPN Connect v3.6.1.5467。
发布 DCO 内核模块 v0.2.20241216。

添加了对 RADIUS 消息身份验证器属性的支持，以解决 CVE-2024-3596。
添加了对 Amazon EC2 实例上元数据 v2 的支持，用于 ovpn-init 初始设置。
向新的客户端 Web UI 添加了对自定义 MFA 消息的支持。
在新的客户端 Web UI 上添加了 /saml/metadata 端点。
在外部 PKI 模式下，将 EPKI 通用连接配置文件下载和捆绑选项添加到新的客户端 Web UI 中。
将 OpenVPN 更新至 v2.6.12 以解决 CVE-2024-5594。
将 FastAPI 库更新至 v0.110.3 版本。
更新了 Access Server EULA，以包括新客户端 Web UI 中使用的新库的许可证。
修复了在繁忙的 2.14.0 服务器上服务器代理性能会显着降低的回归问题。
修复了 OKTA MFA 未出现在新客户端 Web UI 上的回归问题。
修复了在 MFA 注册阶段完成之前不区分大小写的 LDAP 身份验证可能失败的回归问题。
修复了管理员 Web UI 上下载自动登录配置文件而自己缺乏自动登录权限的回归问题。
修复了管理 Web UI 的 SAML 和 CWS 设置页面上的回归问题，其中保存设置按钮可能会重置设置。
修复了管理 Web UI 的用户权限页面上的回归问题，其中用户设置可能会被无意中删除。
修复了 post_auth 年授权字典中缺少client_ip_address的回归问题。
修复了 post_auth 中属性字典中缺少request_superuser_privileges和log_service_name的回归问题。
修复了prop_deny_web会无意中同时阻止 VPN 身份验证的回归问题。
修复了 confdba 中设置活动配置文件的错误。
修复了重复成功的 SAML 身份验证可能会触发身份验证锁定的错误。
修复了访问服务器配置中定义的 MTU 设置不会应用于 OpenVPN 守护程序的错误。
改进了新的客户端 Web UI，以便在 Access Server 处于外部 PKI 模式时隐藏“连接配置文件”页面。
改进了在关闭 XML-RPC API 时对客户端安装程序和连接配置文件下载案例的处理。
通过在服务器上自动添加注释，改进了将连接配置文件捆绑到安装程序中。
改进了新的客户端 Web UI 和新的 REST API 端点，以更正小问题。
发布了捆绑客户端包 v31 和 Connect v3.5.0.3818 for Windows。

新功能：
为客户端 Web 服务引入了新的 Web 框架。
添加了对 Ubuntu 24.04 LTS（Noble Numbat）的支持。
错误修复和改进：
将 Twisted 库更新到 22.4。
将 OpenVPN2 核心更新至 2.6.10as1。
修复了安全问题 CVE-2024-28882。
删除了用于 LDAP SSL 验证的捆绑 Web CA，而是依赖系统证书存储。
从 Web 界面中删除了已弃用的 Connect v2 客户端。建议改用 Connect v3。
使用其他订阅密钥详细信息增强了输出。
sacli subscriptionstatus
修复了在 之后重新加载 iptables 规则集的问题。
sacli start
修复了在 Red Hat 9.4 上构建 DCO 内核模块时的错误。
发布 DCO 内核模块 v0.2.20240712。
重要提示：
放弃了对 CentOS 7、Red Hat 7 和 Debian 10作系统的支持。这些作系统已于 2024 年 6 月终止生命周期。我们还放弃了对 Amazon Linux 2 的支持。我们目前建议使用 Ubuntu 22.04 LTS 或 24.04 LTS、Debian 12 或 Red Hat 9。
客户端 Web 界面不再提供 OpenVPN Connect v2，因为这是一个已弃用的客户端。它现在提供 OpenVPN Connect v3，这是推荐的客户端程序。
客户端 Web 界面已在更现代的 Web 框架中重新实现，但它的外观和工作方式仍然基本相同。管理 UI 也将在即将发布的版本中进行大修。
一个已知问题是，通过具有 MFA 质询的 RADIUS 进行身份验证的用户（例如，具有 RADIUS 代理的 OKTA）只能使用自动推送作为多重登录。验证码、短信和电子邮件不支持作为第二因素。OKTA SAML 身份验证不受此问题的影响。此问题已在 2.14.1 中得到解决。
一个已知问题是，在外部 PKI 模式下访问客户端 Web 服务中的配置文件概述会显示错误消息，因为该功能在外部 PKI 模式下不可用。此问题已在 2.14.1 中得到解决。
一个已知问题是，如果管理员用户没有自动登录权限，则无法在管理 Web UI 上为其他用户创建自动登录配置文件。此问题已在 2.14.1 中得到解决。
一个已知问题是，Duo 安全post_auth脚本的用户会收到一条通用消息，要求输入 MFA 代码，而不是 Duo post_auth 脚本生成的自定义消息。此问题已在 2.14.1 中得到解决。
一个已知问题是，如果用户在使用 LDAP 或 RADIUS 进行身份验证时使用与 Windows Active Directory 中存储的用户名不同的用户名登录，则用户无法注册 MFA。此问题已在 2.14.1 中解决
2.14.0 和 2.14.1 中的一个已知问题是，在新的客户端 Web UI 中下载带有非拉丁字符的用户名的配置文件会导致错误。此问题已在 2.14.2 中得到解决。

将 VPN 客户端网关（站点到站点）功能添加到集群模式。
改进了安全性，以便 MFA 失败计入锁定策略。
改进了安全性，因此无法重播 MFA。
修复了如果作系统仅配置了 IPv6 DNS 服务器，则 AS 不会启动的回归问题。
修复了忽略LOG_ROTATE_LENGTH设置的回归。
修复了启用 DCO 时 VPN 客户端的真实 IP 无法正确显示的 bug。
修复了更改自动登录权限可能会重置 TOTP MFA 注册的错误。
修复了通过元数据 URL/文件重新配置 SAML 设置会关闭 SAML 身份验证的错误。
修复了已弃用的第 2 层模式下管理 Web UI 中的一些小问题。
发布捆绑客户端包 v30，包括适用于 Windows 的 Connect v3.4.4.3412 和适用于 macOS 的 Connect v3.4.9.4830。

新功能：
添加了对 Debian 12 （Bookworm） 的支持。
错误修复和改进：
将 Twisted 库更新到 21.7。
将 OpenVPN2 核心更新至 2.6.8。
在 CentOS 7 和 Red Hat 7 上更新到 Python 3.8。
改进了 OpenVPN 多守护进程模式的内部负载均衡逻辑。
改进了 sacli activeconfig 命令以显示更多信息。
改进了 sacli support 命令，以隐藏证书但显示元数据。
修复了缺少 vpn.server.cipher 设置导致集群模式下出错的错误。
修复了无效的 LDAP 调试级别设置会引发错误的错误。
修复了 sacli ldapexplorer 不再起作用的回归。
修复了站点到站点路由可能最终丢失的错误。
修复 Jumpcloud SAML 元数据文件无法下载的 bug。
修复了管理 Web UI 中 NetBIOS 设置中的错误。
修复了使用 TCP 时 DCO 崩溃的问题。
修复了在 Red Hat 9.3 上构建 DCO 内核模块时的错误。
发布捆绑客户端包 v29，包括适用于 Windows 的 Connect v3.4.3.3337 和适用于 macOS 的 Connect v 3.4.7.4745。
发布 DCO 内核模块 v0.2.20231117。
重要提示：
在 CentOS 7 和 Red Hat 7 上，我们现在需要 Python 3.8。这是通过使用 SCL 存储库完成的。这些作系统的安装说明已更新，以包含启用 SCL 存储库的说明。
我们更改了行为，因此旧的 vpn.server.cipher 配置不再自动包含在支持的数据密码中。这只会影响您在 OpenVPN 2.3 或更早的客户端上使用较旧的 CBC 密码。在几乎所有情况下，您都已经在使用较新的 AEAD 类型密码，并且不受影响。如果您在极少数情况下受到此更改的影响，您可以手动将必要的密码添加到支持的数据密码中。
发布分支 2.13.x 将是最后一个支持 CentOS 7、Red Hat 7 和 Debian 10 的主要版本。这些作系统将于 2024 年 6 月终止生命周期。在此主要版本之后，我们还将放弃对 Amazon Linux 2 的支持。我们建议使用 Ubuntu 22.04 LTS、Debian 12 或 Red Hat 9。

修复了 Access Server 2.12.2 中 OpenVPN 核心中引入的段错误崩溃问题。

修复了安全问题 CVE-2023-46849 和 CVE-2023-46850。
Access Server 版本 2.11.0、2.11.1、2.11.2、2.11.3、2.12.0 和 2.12.1 受到影响 。

修复了阻止在 Web 界面中上传证书的回归。
修复了与固定许可证验证和激活相关的回归。
修复了未将集群节点配置为多守护程序模式时发生的回归问题。
改进了名称解析子系统准备就绪后发生的服务启动。
改进了对 IPv6 Internet 重定向的处理。
改进了命令行生成的支持日志的编辑。

新功能
添加了数据通道卸载 （DCO） 支持（测试版）。现在可以选择安装和启用此功能。
添加了用于指定每个集群节点的组子网的选项，以允许路由在集群中工作。
添加了支持客户端在服务器断开连接时自动重试的功能。
添加了设置 CA 证书续订间隔的选项（默认为一年）。
添加了设置客户端证书生存期的选项（默认为十年）。
添加了在 Web 界面中设置 VPN MTU 值的选项，新安装默认为 1420。
添加了关闭审核和服务日志记录的选项。
错误修复和改进
添加了改进的 sacli GenerateInstaller 命令，用于生成客户端安装程序。
添加了一个新的 sacli ActiveConfig 命令，用于列出配置选项。
在管理 Web UI 中添加了订阅上使用的总连接数。
修复了仅在群集模式下使用自定义 PAS 时可能绕过身份验证的问题。
修复了在关闭 CN 要求的情况下使用 EPKI 时潜在的身份验证绕过问题。
修复了键值导致故障转移系统崩溃ucarp.extra_parms回归问题。
修复了如果服务器无法访问，命令行上的激活可能会挂起的回归问题。
修复了通过命令行配置 SAML 元数据文件具有错误端口的回归问题。
修复了某些 XML-RPC 调用在集群模式下失败的回归问题。
修复了辅助故障转移节点上的 ovpn-init 不会擦除数据的错误。
修复了 sacli EnumClients 只能列出前 100 个条目的错误。
修复了如果本地身份验证不是默认身份验证，则本地用户无法更改其密码的错误。
修复了显示的 SAML SP URL 并不总是显示正确端口的错误。
修复了节点在离开集群时未恢复到自己的本地地址的错误。
改进了 Access Server 升级逻辑中的几个项目。
通过在不再需要时删除客户端私钥来改进客户端私钥的处理。
通过添加 config_db_local 必须是本地 SQLite 文件来改进 as.conf 文档。
改进了 authcli 输出，以包括用于用户的身份验证方法。
改进了启动例程，以便在 Access Server 启动之前完成时间同步。
改进的证书序列号生成方法，从线性方法到随机 64 位方法。
将新安装的默认 CA 位强度从 RSA 2048 改进为 secp384r1。
将新安装的默认 DH 密钥强度从 2048 位提高到 4096 位。
改进了 HTTP POST 请求错误处理，使日志消息更干净。
改进了对由于重复值（400 错误请求）而无效的 REST API 调用的处理。
改进了客户端 Web UI 移动视图上项的对齐方式。
删除了在管理 Web UI 中启用压缩设置的选项，因为它不安全。
删除了 certool 生成无密码证书包的功能。
重要事项
由于作系统 Ubuntu 18 已停产，因此放弃了对它的支持。
Access Server 现在支持数据通道卸载 （DCO），它通过在内核空间中处理数据加密和解密来释放更好的性能。这目前处于测试阶段。要使用它，必须安装 DCO 内核模块，然后在 Access Server 中启用。
OpenVPN Connect v3 客户端现在是 Web 界面上提供的默认客户端。OpenVPN Connect v2 是一个已弃用的客户端，将在未来的版本中逐步淘汰。
如果您的接入服务器处于集群模式，并且使用仅 PAS 身份验证系统将访问服务器自己的内部身份验证系统替换为您自己的自定义身份验证系统，则建议您升级到 2.12.0 以解决潜在的身份验证绕过问题。
如果您的接入服务器具有自己的自定义外部 PKI 证书，并且还禁用了证书上的公用名用户名检查，则建议您升级到 2.12.0 以解决潜在的身份验证绕过问题。