LINUX.ORG.RU
решено ФорумDesktop

OpenVPN и XCA расширения для серверного сертификата

 ,


0

1

Добрый день! Использую Ubuntu XCA в качестве центра сертификации и в том числе хотелось бы корректно настроить туннель OpenVPN.

Столкнулся с проблемой защиты соединения.

Если включить в OpenVPN на клиенте remote-cert-tls server

То подключение не удается, по причине не достаточных расширений. Делал его через XCA, указав одно расширение «TLS Web Server Authentification»

Что еще ему нужно добавить для полноценной работы? Интересуют требования, ну и какие указать при создании через XCA.

Лог: 

Certificate does not have key usage extension
VERIFY KU ERROR
OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS handshake failed
доп. скрин. https://dev.rutoken.ru/download/attachments/4227143/6.png?version=1&modif...

сертификаты есть клиентские и серверные. Генерите правильный - для клиента клиентский, для сервера - серверный.

zgen ★★★★★
()

При создании сертификата в xca есть типовые шаблоны его применения: «HTTPS server»/«HTTPS client». Выбери и примени один.

Для ssl/tls сервера «key usage extension» будет содержать что-то типа «digital signature»+«key encipherment»+«non repudiation». Проверять на вкладке «область применения ключа», чтоб нужное было выделено (или повыделять нужное самому).

На последней вкладке есть «суммарный отчёт» по свойствам создаваемого серта. Там должно быть что-то подобное:

X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment

Netscape Cert Type:
SSL Server
anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Desktop