From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <lakostis@unsafe.ru>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.3 required=5.0 tests=BAYES_00,FSL_HELO_HOME,
 RP_MATCHES_RCVD autolearn=ham autolearn_force=no version=3.4.1
Date: Fri, 8 Jun 2018 11:47:12 +0200
From: Konstantin Lepikhov <lakostis@unsafe.ru>
To: sysadmins@lists.altlinux.org
Message-ID: <20180608094712.GA28569@lks.home>
References: <bbdcce99-7113-3241-53c3-6ad533de64b7@mail.ru>
 <cdf7a4c7a9cd6815e4e4798873f3d01386208b00.camel@naf.net.ru>
 <cddbfbbf-55bd-ede7-ecc7-032eb1a00705@mail.ru>
 <6324a70c403b679b2d74834e00026d7876a9c6f0.camel@naf.net.ru>
 <67f7f3f3-a4d8-ff9c-a768-aeda8336b16b@mail.ru>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <67f7f3f3-a4d8-ff9c-a768-aeda8336b16b@mail.ru>
X-Operation-System: ALT Linux starter kit (Trientalis) 4.14.0-lks-wks-alt14
User-Agent: Mutt/1.8.3 (2017-05-23)
Subject: Re: [Sysadmins] OpenVPN cert error
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 08 Jun 2018 09:47:17 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20180608094712.GA28569@lks.home/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Hi Vladimir!

On 06/08/2018, at 11:47:22 AM you wrote:

> Добрый день!
> 
> 08.06.2018 9:59, Nikolay A. Fetisov пишет:
> > В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет:
> >>
> >> ....у меня теперь вылезает:
> >>
> >> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak:
> >> C=RU, ...
> >> OpenSSL: error:1416F086:SSL
> >> routines:tls_process_server_certificate:certificate verify failed
> >>   ...
> > 
> > А все сертификаты изменены? И CA перегенерирована? И сертификат CA
> > установлен?
> 
> А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо 
> перегенерировать? А как это лучше сделать для тех клиентов, которые только 
> через VPN доступны и до которых не добраться лично?
> 
голубиной почтой послать им base64 нового CA. Иначе никак, у вас же
сертификаты подписаны старым CA а вы его поменяли.

-- 
WBR et al.