J'ai executer cette commande

root@vpn-oldsec:/opt/ispng/ca/store# for i in *.crt; do openssl x509 -in ${i} -noout -enddate -email -subject -serial| sed ':a;N;$!ba;s/\n/ /g'; done > /tmp/005

Dans un premier temps j'ai chercher les ipv4 dit expirer dans la bdd lier à leurs certificat :

SELECT 
  certificates.serial, 
  address_pool."ipVersion", 
  address_pool.expiry, 
  address_pool.address, 
  ovpn_clients."commonName"
FROM 
  public.address_pool, 
  public.certificates, 
  public.ovpn_clients
WHERE 
  address_pool.client_id = certificates.client_id AND
  certificates.client_id = ovpn_clients.id AND
  address_pool."ipVersion" = 4 AND
  address_pool.expiry <= CURRENT_DATE
ORDER BY
  address_pool.expiry ASC;

Le soucis c'est que la date d'expiration dans la bdd est fause. Le 2eme soucis c'est qu'il faut convertir le sérial en base 64.

Du coup j'ai exporte juste le seria de la req précedente. Et converti en base 64 les serial, cela ce trouve dans /tmp/007. Pour convertir un chifre en base 64 facilment il y a bc avec cette commande : echo "obase=16; 123456789" | bc

Ensuite il faut extraire les infos des certificat dit expirer :

root@vpn-oldsec:/tmp# for i in $(cat 007); do cat 005 | grep ${i}; done > 008

Mais dans ce fichier en ce rend comte des certificats qui on été renouvlé donc à la louche j'ai fait :

cat 008 | grep -v "2017 GMT" > 009

La derniere etape est de comparer les certificat qui sont vraiment expirer avec les infos de leur propriétaire. Savoir si c'est juste un oubli, ou si maintenant ils ont en on plus besoin. Il faut ensuite les retirer de la bdd et faire de même avec l'ipv6 pour même si c'est pas urgent.