मेरे प्रमाणपत्र मेल क्यों नहीं करते?

मैं एक वीपीएन को ओपनवीपीएन के साथ इंटरफेज के बिना कॉन्फ़िगर कर रहा हूं, समस्या तब है जब मैं कनेक्ट करने का प्रयास करता हूं, यह कहता है:

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)

लेकिन मुझे पता है कि समस्या यह नहीं है क्योंकि मैंने इसे फायरवॉल के साथ अक्षम करने की भी कोशिश की है ... इसलिए, इसका पता लगाने की कोशिश कर रहा हूं, मैं भाग गया:

openssl verify -purpose any -CAfile ca.crt client1.crt

सर्वर में और क्लाइंट में भी, अजीब बात सर्वर में सब कुछ ठीक है, लेकिन क्लाइंट में यह कहता है:

error 20 at 0 depth lookup:unable to get local issuer certificate

मैंने कई प्रमाणपत्रों के साथ कोशिश की है, और उन्हें अलग-अलग तरीकों से कॉपी कर रहा हूं ... मुझे यकीन है कि सीआरटी एक ही हैं, और मैंने इसे पूरे मार्ग और इसी तरह से आजमाया है ...

क्या कोई मुझे इसके साथ हाथ दे सकता है ??

सर्वर Ubuntu 12.04 है और ग्राहक CentOS 6 है

यदि किसी अन्य जानकारी की आवश्यकता है, तो कृपया मुझे बताएं!

— poz2k4444
स्रोत

सबसे पहले अपनी तिथि और समय जांचें।

— माइकल मंटियन

जाँच की, अभी भी काम नहीं करते ... @MichaelMantion

— poz2k4444

वास्तव में आप क्या हासिल करने की कोशिश कर रहे हैं? क्या सर्वर को क्लाइंट को उसके सर्टिफिकेट (क्लाइंट ऑथेंटिकेशन) या दूसरे तरीके से (या दोनों) से पहचानना चाहिए?

ऐसा लगता है कि दोनों मशीनों पर ca.crt समान नहीं है। या कि मध्यवर्ती प्रमाण पत्र गायब हैं (यानी आपके सीए प्रमाण पत्र पर दूसरे सीए द्वारा हस्ताक्षर किए गए थे कि उबंटू जानता है / भरोसा करता है लेकिन सेंटोस नहीं करता है)।

क्या आप सुनिश्चित हैं कि CA सर्टिफिकेट (ca.crt) के साथ प्रमाणपत्र (client1.crt) पर हस्ताक्षर किए गए हैं और दोनों मशीनें (यानी client1.crt और ca.crt) दोनों मशीनों पर समान हैं? जब आप निष्पादित करते हैं

openssl x509 -in client1.crt -noout -text |grep Issuer

जब आप करते हैं तो आपको एक ही आउटपुट (दोनों मशीनों पर) मिलना चाहिए

openssl x509 -in ca.crt -noout -text |grep Subject |head -n1

("CN" विशेषता की जाँच करें)।

आप भी कोशिश कर सकते हैं

openssl verify -CAfile ca.crt client1.crt

CentOS पर ( -pupose anyभाग को छोड़ें )।

क्या आपने लॉग की जांच की? वहां कोई संकेत नहीं?

यदि समस्या बनी रहती है और आप जानकारी साझा कर सकते हैं, तो इसका पूरा आउटपुट

openssl x509 -in ca.crt -noout -text
openssl x509 -in client1.crt -noout -text

उपयोगी हो सकता है।

EDIT: क्या आपने OpenVPN इंटरनेट साइट पर इस पृष्ठ की जाँच की? टीएलएस त्रुटि: टीएलएस महत्वपूर्ण बातचीत 60 सेकंड के भीतर होने में विफल रही (अपने नेटवर्क कनेक्टिविटी की जांच करें)

— scherand
स्रोत

उत्तर के लिए हे धन्यवाद, अच्छी तरह से मैं दोनों पक्षों में प्रमाणीकरण चाहता हूं, जैसे मैनुअल कहता है कि सबसे अच्छा है ... मैंने आपके द्वारा लिखे गए कमांडों को चलाया और सीएन एक ही है ... और प्रमाण पत्र सर्वर में सत्यापित है लेकिन क्लाइंट में नहीं, शुरुआत के समान त्रुटि, मैं आउटपुट को साझा नहीं करूंगा क्योंकि मुझे इसमें कुछ नाजुक जानकारी है, लेकिन मैं आपको विश्वास दिलाता हूं कि यह दोनों आउटपुट पर समान है ... मैं यह भी कहना चाहता हूं कि अन्य बॉक्स के साथ ubuntu, VPN ठीक काम करता है ... समस्या सिर्फ CentOS के साथ है, यहां तक कि जब मैं SELinux को अक्षम करता हूं ...

— poz2k4444

मूल CA क्या है (उदा। "जारीकर्ता" और "विषय" जानकारी ca.crt पर समान है)? क्या दोनों सिस्टम रूट CA पर भरोसा करते हैं? अभी भी इंटरमीडिएट और / या रूट सीए प्रमाण पत्र के साथ एक समस्या हो सकती है, नहीं?

— विद्वान

आपके पहले दो सवालों के जवाब के लिए हां है ... तीसरे के लिए मुझे यकीन नहीं है कि मैं कैसे जवाब दूं ... मैंने

— ओपनवीपीएन

और संपादन के लिए ... हां, मैं नेटवर्किंग पर थोड़ा बहुत जानता हूं इसलिए यह पहला कदम था जो मैंने लिया था !!

— poz2k4444