VPN - problem z po

SeaDog · Post autor: **SeaDog** » 25 grudnia 2014, 16:46

Witam, od jakiegoś czasu mam problem z połączeniem VPN. Usługa została prawidłowo skonfigurowana, certyfikaty wystawione i podpisane.
Wszystko sprawnie działało do pewnego momentu. Od kilku dni nie mogę się połączyć. Dodam, że na serwerze na którym zainstalowany jest
openvpn nic nie było doinstalowywane.

log klienta:

Kod: Zaznacz cały

Thu Dec 25 16:29:15 2014 UDPv4 link local: [undef]Thu Dec 25 16:29:15 2014 UDPv4 link remote: [AF_INET]xx.xxx.xxx.xxx:1194
Thu Dec 25 16:29:16 2014 VERIFY ERROR: depth=1, error=certificate has expired: C=XX, ST=xxxxxxxx, L=xxxxxxx, O=xxxxxxxx, CN=xxxxxxxxx
Thu Dec 25 16:29:16 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Thu Dec 25 16:29:16 2014 TLS Error: TLS object -> incoming plaintext read error
Thu Dec 25 16:29:16 2014 TLS Error: TLS handshake failed
Thu Dec 25 16:29:16 2014 SIGUSR1[soft,tls-error] received, process restarting
Thu Dec 25 16:29:18 2014 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Certyfikat jest ważny. Sprawdziłem.

log serwera:

Kod: Zaznacz cały

Thu Dec 25 16:30:15 2014 us=139614 94.254.129.171:59710 SIGUSR1[soft,tls-error] received, client-instance restarting
Thu Dec 25 16:30:17 2014 us=243228 94.254.129.171:59703 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Thu Dec 25 16:30:17 2014 us=243308 94.254.129.171:59703 TLS Error: TLS handshake failed

W pliku konfiguracyjnym klienta ustawiony jest port 1194.

W czym może być problem?

piroaa · Post autor: **piroaa** » 26 grudnia 2014, 11:17

Dzień dobry.

VERIFY ERROR: depth=1, error=certificate has expired:

Sprawdź :

openssl x509 -in certyfikat.crt -noout -enddate

SeaDog · Post autor: **SeaDog** » 28 grudnia 2014, 00:11

Certyfikat serwera -> notAfter=Dec 18 20:49:11 2014 GMT ( klucz publiczny )
Certyfikat klienta -> notAfter=Nov 18 20:54:43 2015 GMT

...a jednak. Popełniłem straszny błąd. Główny certyfikat CA stracił ważność. Jak to możliwe? OK, czy w takiej sytuacji da się odnowić ten certyfikat mając klucz prywatny?
Próbuję odtworzyć całą procedurę, czyli na podstawie klucza prywatnego utworzyć samopodpisywalny certyfikat. Podejście nr. 2 i niestety błąd podczas łączenia.

Jest na to sposób?

piroaa · Post autor: **piroaa** » 28 grudnia 2014, 20:51

Nie jestem specem w dziedzinie certyfikatów więc może poczekaj aż wypowie się ktoś bardziej obeznany z tematem, szczerze powiem że też mnie to ciekawi. Ja to widzę tak że trzeba wymienić certyfikat dla CA a co za tym idzie wszystkie certyfikaty klienckie.
Certyfikat składa ci się z 3 części klucza publicznego, twoich danych widocznych w certyfikacie, co i to wszystko jest podpisane przez zaufane CA. Jeśli więc certyfikat twojego CA jest nieważny bo się przedawnił to według mnie pozostałe certyfikaty też tracą ważność bo jak niby zweryfikować ich autentyczność skoro podpis CA misi zostać zmieniony ? Posiadanie klucza prywatnego raczej nic tu nie zmieni.

SeaDog · Post autor: **SeaDog** » 31 grudnia 2014, 01:35

Masz rację, jednak chciabym tego uniknąć czyli generowania nowego CA. Znalazłem w sieci takie coś:

Kod: Zaznacz cały

# Converting existing certificate to a CSR
openssl x509 -x509toreq -in ORIGINAL_CACERT -signkey ORIGINAL_PRIVATE_KEY -out certreq.csr


# Renewing the certificate, extending its lifetime
openssl ca -config CONF_FILE.cnf -startdate STARTDATE -enddate ENDDATE -in certreq.csr \
-out cacert_renewed.pem -keyfile ORIGINAL_PRIVATE_KEY -cert ORIGINAL_CACERT -extensions ca_ext

Po takim zabiegu certyfikat ma zmienione daty, tylko niestety nie jest to CA.

VPN - problem z po

VPN - problem z połączeniem