LINUX.ORG.RU
решено ФорумAdmin

OpenVPN: CA key and CA certificate mismatch

 ,


0

1

Добрый день. Имеется сервер на FreeBSD с OpenVPN. В какой-то момент (до моего прихода) перестали генерироваться новые клиентские ключи. ./vars загружается без видимых ошибок, openssl.cnf на лежит на своем месте.

CA certificate and CA private key do not match
20323:error:0B080074:x509 certificate routines:x509_check_private_key:key values mismatch:/usr/src/secure/lib/.../x509_cmp.c:406

Может кто-нибудь подсказать, куда копать? На сегодня работают 70+ сгенерированных ранее сертификатов; заменить на другой сертификат - не проблема, конечно, но довольно долго. Есть другие решения?



Последнее исправление: kemechedzhiev (всего исправлений: 1)

А что именно непонятно?

У тебя CA сертификат не соответсвует приватному ключу.
Кто-то подменил (испортил) либо один, либо другой.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Это-то я понимаю. Не понимаю источник, вроде бы некому было такой ерундой заниматься, но не потому я создал тему.

Вопрос: я ведь могу взять ca.crt и ca.key у одного из настроенных клиентов, правильно? Остановить openvpn, забэкапить (на всякий случай) те сертификат и ключ, которые есть сейчас, заменить на другие... Или как это лучше и безопаснее сделать, чтобы не выстрелить себе в ногу?

И еще. Как может сохраниться работоспособность после этой самой подмены /порчи сглаза? Перезагрузки уже были, соединение устанавливается, трафик ходит. Это не критичный вопрос, просто мне бы не помешало понять, как это возможно.

kemechedzhiev
() автор топика
Ответ на: комментарий от kemechedzhiev

ca.key у одного из настроенных клиентов, правильно?

Это вообще то секретный ключ Certificate Authority, откуда он на клиентах вообще?

Это все равно, что ты дал своим клиентам возможность генерировать сертификаты от твоего имени.

Или как это лучше и безопаснее сделать, чтобы не выстрелить себе в ногу?

Вообще то, все выглядит так, будто ногу вы уже отстрелили.

И еще. Как может сохраниться работоспособность после этой самой подмены /порчи сглаза?

Так ключ нужен только для генерирования сертификатов. Во всех остальных случаях нужен только ca.crt (сертификат), если он selfgenerated.

zgen ★★★★★
()
Последнее исправление: zgen (всего исправлений: 2)
Ответ на: комментарий от zgen

Так вот дело как раз в том, что я эти ключи у клиентов массово изъял, они у них лежали в папках с openvpn. Теперь они есть только у меня :-) Настраивал мой предшественник, я теперь с этим разбираюсь потихоньку.

Итак, проверять совпадения md5 у ca.key и ca.crt через openssl, и переложить, я правильно понимаю?

kemechedzhiev
() автор топика
Ответ на: комментарий от kemechedzhiev

Настраивал мой предшественник, я теперь с этим разбираюсь потихоньку.

Му-ха-ха. Знаю одну достаточно значимую организацию, так там тоже раздавали вместе с ключем, о чем я админам и сообщил. Раздают ли сейчас не знаю, но уже на тот момент было достаточно кому выдали, а при учете что раздают в том числе подрядчикам ИТ где знатоков хватает, доставляет отдельно. Прошло пять с половиной лет, ключ до сих пор работает, сейчас ради интереса себе сгенерил.
Похоже этому где-то «специально» обучают :)

По сабжу. Генерите новые. При учете что «у клиентов массово изъял» не вызвало проблем, раздать новые видимо тоже труда не составит.

anc ★★★★★
()
Ответ на: комментарий от kemechedzhiev

Чисто для справки: в OpenVPN в директиву CA можно положить несколько сертификатов, и он будет аутентифицировать и клиентов со старыми ключами, и с новыми.

И сертификат (.crt) можно получить из закрытого ключа (.key), самоподписав его с тем же DN, какой был и у прежнего.

ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

И сертификат (.crt) можно получить из закрытого ключа (.key), самоподписав его с тем же DN, какой был и у прежнего.
.crt
.key

Вот откуда такая вантузятность прет? Нет я серьезно, у меня например никогда не было .crt .key и шо у меня нет сертификатов и ключей?

anc ★★★★★
()
Ответ на: комментарий от ValdikSS

У меня просто нет файлов вида *.crt *.key

anc ★★★★★
()
Ответ на: комментарий от ValdikSS

А как вы их храните? В pkcs12, что ли?

А почему нет? Юзаю pkcs12 как раз всегда, какие минусы у этого подхода?
А anc видимо имеет ввиду, что расширение у сертификатов-ключей может быть произвольным.

xtraeft ★★☆☆
()
Последнее исправление: xtraeft (всего исправлений: 1)
Ответ на: комментарий от xtraeft

А anc видимо имеет ввиду, что расширение у сертификатов-ключей может быть произвольным.

или отсутствовать. Мой файл, как хочу так и называю.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.