OpenVPN: चेन में स्व-हस्ताक्षरित प्रमाण पत्र

9

मैं TunnelBlickप्रमाण पत्र का उपयोग करने के लिए कनेक्ट करने के लिए (एक OS / X OpenVPN 2.2.1 क्लाइंट का उपयोग करने के लिए) बहुत असफल कोशिश कर रहा हूं । यहां मुझे प्राप्त स्वच्छता संदेश में त्रुटि है:

2012-01-11 11:18:26 TLS: प्रारंभिक पैकेट ** से। **। **। **: 1194, साइड = 17a4a801 5012e004
2012-01-11 11:18:26 बहुत त्रुटि: गहराई = 1, त्रुटि = प्रमाण पत्र श्रृंखला में स्वयं हस्ताक्षरित प्रमाण पत्र: / सी = यूएस / एसटी = ** / एल = ** / ओ = ** / सीएन = ** / EmailAddress = **
2012-01-11 11:18:26 TLS_ERROR: BIO ने tls_read_plaintext त्रुटि पढ़ी: त्रुटि: 14090086: SSL दिनचर्या: SSL3_GET_SERVER_CERTIFICATE: प्रमाणपत्र सत्यापन विफल
2012-01-11 11:18:26 टीएलएस त्रुटि: टीएलएस ऑब्जेक्ट -> आने वाली प्लेटेक्स्ट रीड एरर
2012-01-11 11:18:26 टीएलएस त्रुटि: टीएलएस हैंडशेक विफल
2012-01-11 11:18:26 टीसीपी / यूडीपी: क्लोजिंग सॉकेट

अब, यहाँ रगड़ना है। मैंने खुद को इस प्रमाण पत्र का अनुरोध करने के लिए एक CSR उत्पन्न किया, दूसरी तरफ से मुझे प्रदान की गई ca.crt फ़ाइल का उपयोग करके (वास्तव में, उन्होंने यह सुनिश्चित करने के लिए दो बार किया)।

क्लाइंट कॉन्फ़िगरेशन में प्रासंगिक प्रविष्टियाँ हैं: 

ca   ca.crt
cert my.crt
key  my.key

और, इसके अलावा ... मैं इस तरह से चाबियाँ सत्यापित कर सकता हूं:

खोलता है सत्यापित करें -सीएफाइल ca.crt 

my.crt my.crt: ठीक है

ठीक है, इसलिए अब मैं पूरी तरह से रहस्यमय और स्टम्प्ड हूं। इस बिंदु पर, मुझे पता है कि सीएसआर और कुंजी को उचित सीएसआर का उपयोग करके उत्पन्न किया गया था। वास्तव में, यहाँ बहुत ही आज्ञा है कि यह किया:

openssl req -newkey rsa:2048 -new -out my.csr -keyout my.key

मैं यह करना भी जानता था:

openssl x509 -subject -issuer -noout -in ca.crt

...

(झपकी!)

क्या मुझे बस मिल गया?

उस कमांड का आउटपुट इस तरह दिखता है: (कुछ हद तक संपादित)

विषय = / C = US / ST = VA / L = ** / O = ** / CN = ** CA / emailAddress = **
जारीकर्ता = (समान)

OpenVPN से त्रुटि संदेश में, एसटी = बिल्कुल समान नहीं है:

बहुत त्रुटि: गहराई = 1, त्रुटि = प्रमाण पत्र श्रृंखला में स्वयं हस्ताक्षरित प्रमाण पत्र: / C = US / ST = वर्जीनिया / L = ** / O = ** / CN = ** / emailAddress = **

"वीए" "वर्जीनिया" के बराबर नहीं है।

openvpn  openssl 
user106701
स्रोत
2
एक कोशिश करो openssl s_client -connect host:port -showcerts, और प्राप्त प्रमाण पत्र के थंबप्रिंट की तुलना करें openssl x509 -noout -text -in ca.crt
शेन मैडेन

जवाबों:

7

बस इस धागे को पूरा बंद करने के लिए: कि वास्तव में समस्या थी। "Ca.crt" जो मुझे मिला था ("वर्जीनिया") वास्तव में वह नहीं था जो मेरे सहयोगी ("VA") का उपयोग कर रहे थे, और न ही हम में से किसी ने उस समय देखा था।

इसलिए ... मूल रूप से (और आम तौर पर आम आदमी की शर्तों में) वीपीएन प्राधिकरण की एक श्रृंखला लेने की कोशिश कर रहा था caCrt की तलाश में है जो इसे खोजने की उम्मीद करता था, लेकिन यह कभी नहीं किया (क्योंकि यह वहां नहीं था)।

और, यह उन अद्भुत संदेशों में से एक है जो क्रिप्टो सिस्टम के लिए बहुत अच्छी तरह से जाना जाता है: पूरी तरह से सटीक, और फिर भी, पूरी तरह से एकतरफा के लिए रहस्यमय। (और, निष्पक्ष होने के लिए, क्रिप्टो सिस्टम किसी भी चीज़ के बारे में जानकारी को विभाजित करना पसंद नहीं करते हैं, क्योंकि वे उस व्यक्ति को मानते हैं जो वे बात कर रहे हैं, निश्चित रूप से बुराई ईव है , न कि अच्छा ऐलिस या बॉब।)

माइक रॉबिन्सन
स्रोत
निष्पक्ष होने के लिए, मुझे यकीन नहीं है कि सीए चेन के साथ ऐसा करने के लिए कुछ भी नहीं है और इस तथ्य के साथ करने के लिए कि यह पहली जगह में एक अलग सीए था, और इस प्रकार स्वचालित रूप से अविश्वासित है। ओपनएसएसएल को ज्यादा पैदल नहीं चलना पड़ता है। हो सकता है कि आप हालांकि क्या मतलब था।
अपरेंट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.