prev
next
ru.linux.chainik
FromAlexey Vissarionov2:5020/545.0Date Write2018-05-24 00:25:26
ToAlexander Suvorov0:0/0.0Date Arrived2018-05-24 00:40:05
SubjOpenSSL error....certificate verify failed
Attr
Доброго времени суток, Alexander!
23 May 2018 15:09:48, ты -> мне:

AS>>> Не могу законнектить Raspberry Pi к домашнему OpenVPN серверу,
AS>>> при этом клиент под Андроид к нему коннектиться и работает без
AS>>> вопросов и нареканий. А пытаюсь подключиться Малиной и получаю..
AS>>> OpenSSL: error:14090086:SSL
AS>>> routines:ssl3_get_server_certificate:certificate verify failed
AS>>> Кто-нибудь знает как сие побороть?
AV>> А как ты генерируешь ключи и подписываешь сертификаты?
AS> С помощью easy-rsa

Ой... оно ж кривое, как турецкий ятаган.

AS> У него там есть папка со скриптами в частности build-ca build-key
AS> и build-key-server вот ими и генерил/подписывал.. ЕМНИП, давненько
AS> просто это делал.

Лучше обойтись без костылей. Например, CA генерируется одной командой:

openssl req -outform pem -newkey rsa:8192 -sha512 -days 3700 -x509 -nodes -subj
"/C=RU/L=Moscow/O=Horns&Hoofs/OU=CA/CN=cert.example.net" -keyout ca.key -out
ca.crt

Примерно так же генерируются ключи и CSR для сервера и клиентов:

openssl req -outform pem -new -newkey rsa:8192 -sha512 -days 370 -nodes -subj
"/CN=vpn.example.net" -keyout vpn.example.net.key -out vpn.example.net.csr

Что там еще нужно, параметры DH? Вообще элементарщина, хотя и _очень_ долго -
может занять несколько часов... благо, оно нужно только на сервере:

openssl dhparam -5 -out dhparam.pem 4096

А про подписывание подробно написано в `man ca`.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Разверни часы с кукушкой циферблатом к стене - и получи часы с дятлом!
--- /bin/vi
* Origin: http://openwall.com/Owl/ru (2:5020/545)