* [Sysadmins] OpenVPN cert error
@ 2018-06-07 20:10 Vladimir Karpinsky
2018-06-07 20:27 ` Vladimir Karpinsky
2018-06-08 4:47 ` Nikolay A. Fetisov
0 siblings, 2 replies; 11+ messages in thread
From: Vladimir Karpinsky @ 2018-06-07 20:10 UTC (permalink / raw)
To: sysadmins
Здравствуйте!
При обновлении виндового клиента OpenVPN до версии 2.4.6 он перестал
подключаться с руганью:
OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
На сервере (Альт p8) перегенерировал через альтератор сертификат, но
безрезультатно. В /etc/openssl/openssl.cnf написано:
default_md = sha256
М.б. альтератор откуда-то из другого места конфиг читает?
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-06-07 20:10 [Sysadmins] OpenVPN cert error Vladimir Karpinsky
@ 2018-06-07 20:27 ` Vladimir Karpinsky
2018-06-08 4:47 ` Nikolay A. Fetisov
1 sibling, 0 replies; 11+ messages in thread
From: Vladimir Karpinsky @ 2018-06-07 20:27 UTC (permalink / raw)
To: sysadmins
07.06.2018 23:10, Vladimir Karpinsky пишет:
> Здравствуйте!
>
> При обновлении виндового клиента OpenVPN до версии 2.4.6 он перестал
> подключаться с руганью:
> OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak
>
> На сервере (Альт p8) перегенерировал через альтератор сертификат, но
> безрезультатно. В /etc/openssl/openssl.cnf написано:
>
> default_md = sha256
>
> М.б. альтератор откуда-то из другого места конфиг читает?
Нашёл md5 в /usr/share/alterator-ca/CA.cnf, поменял на sha256:
default_md = sha256
Теперь получаю:
VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=RU, ...
OpenSSL: error:1416F086:SSL
routines:tls_process_server_certificate:certificate verify failed
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-06-07 20:10 [Sysadmins] OpenVPN cert error Vladimir Karpinsky
2018-06-07 20:27 ` Vladimir Karpinsky
@ 2018-06-08 4:47 ` Nikolay A. Fetisov
2018-06-08 5:12 ` Vladimir Karpinsky
1 sibling, 1 reply; 11+ messages in thread
From: Nikolay A. Fetisov @ 2018-06-08 4:47 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Здравствуйте!
В Чт, 07/06/2018 в 23:10 +0300, Vladimir Karpinsky пишет:
> При обновлении виндового клиента OpenVPN до версии 2.4.6 он перестал
> подключаться с руганью:
> OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md
> too weak
> ....
>
> М.б. альтератор откуда-то из другого места конфиг читает?
Уже было здесь в марте:
https://lists.altlinux.org/pipermail/sysadmins/2018-March/037921.html
https://bugzilla.altlinux.org/show_bug.cgi?id=34441
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-06-08 4:47 ` Nikolay A. Fetisov
@ 2018-06-08 5:12 ` Vladimir Karpinsky
2018-06-08 6:59 ` Nikolay A. Fetisov
0 siblings, 1 reply; 11+ messages in thread
From: Vladimir Karpinsky @ 2018-06-08 5:12 UTC (permalink / raw)
To: sysadmins
Здравствуйте!
08.06.2018 07:47, Nikolay A. Fetisov пишет:
> В Чт, 07/06/2018 в 23:10 +0300, Vladimir Karpinsky пишет:
>> При обновлении виндового клиента OpenVPN до версии 2.4.6 он перестал
>> подключаться с руганью:
>> OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md
>> too weak
>> ....
>>
>> М.б. альтератор откуда-то из другого места конфиг читает?
>
> Уже было здесь в марте:
> https://lists.altlinux.org/pipermail/sysadmins/2018-March/037921.html
> https://bugzilla.altlinux.org/show_bug.cgi?id=34441
Этоя уже нашёл, но у меня теперь вылезает:
VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=RU, ...
OpenSSL: error:1416F086:SSL
routines:tls_process_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
TCP/UDP: Closing socket
SIGUSR1[soft,tls-error] received, process restarting
Restart pause, 5 second(s)
потом 10 секунд и т.д.
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-06-08 5:12 ` Vladimir Karpinsky
@ 2018-06-08 6:59 ` Nikolay A. Fetisov
2018-06-08 8:47 ` Vladimir Karpinsky
0 siblings, 1 reply; 11+ messages in thread
From: Nikolay A. Fetisov @ 2018-06-08 6:59 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет:
>
> ....у меня теперь вылезает:
>
> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak:
> C=RU, ...
> OpenSSL: error:1416F086:SSL
> routines:tls_process_server_certificate:certificate verify failed
> ...
А все сертификаты изменены? И CA перегенерирована? И сертификат CA
установлен?
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-06-08 6:59 ` Nikolay A. Fetisov
@ 2018-06-08 8:47 ` Vladimir Karpinsky
2018-06-08 9:47 ` Konstantin Lepikhov
2018-07-02 10:07 ` Sergey
0 siblings, 2 replies; 11+ messages in thread
From: Vladimir Karpinsky @ 2018-06-08 8:47 UTC (permalink / raw)
To: sysadmins
Добрый день!
08.06.2018 9:59, Nikolay A. Fetisov пишет:
> В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет:
>>
>> ....у меня теперь вылезает:
>>
>> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak:
>> C=RU, ...
>> OpenSSL: error:1416F086:SSL
>> routines:tls_process_server_certificate:certificate verify failed
>> ...
>
> А все сертификаты изменены? И CA перегенерирована? И сертификат CA
> установлен?
А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо
перегенерировать? А как это лучше сделать для тех клиентов, которые только
через VPN доступны и до которых не добраться лично?
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-06-08 8:47 ` Vladimir Karpinsky
@ 2018-06-08 9:47 ` Konstantin Lepikhov
2018-06-08 12:01 ` Vladimir Karpinsky
2018-07-02 10:07 ` Sergey
1 sibling, 1 reply; 11+ messages in thread
From: Konstantin Lepikhov @ 2018-06-08 9:47 UTC (permalink / raw)
To: sysadmins
Hi Vladimir!
On 06/08/2018, at 11:47:22 AM you wrote:
> Добрый день!
>
> 08.06.2018 9:59, Nikolay A. Fetisov пишет:
> > В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет:
> >>
> >> ....у меня теперь вылезает:
> >>
> >> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak:
> >> C=RU, ...
> >> OpenSSL: error:1416F086:SSL
> >> routines:tls_process_server_certificate:certificate verify failed
> >> ...
> >
> > А все сертификаты изменены? И CA перегенерирована? И сертификат CA
> > установлен?
>
> А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо
> перегенерировать? А как это лучше сделать для тех клиентов, которые только
> через VPN доступны и до которых не добраться лично?
>
голубиной почтой послать им base64 нового CA. Иначе никак, у вас же
сертификаты подписаны старым CA а вы его поменяли.
--
WBR et al.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-06-08 9:47 ` Konstantin Lepikhov
@ 2018-06-08 12:01 ` Vladimir Karpinsky
0 siblings, 0 replies; 11+ messages in thread
From: Vladimir Karpinsky @ 2018-06-08 12:01 UTC (permalink / raw)
To: sysadmins
08.06.2018 12:47, Konstantin Lepikhov пишет:
> Hi Vladimir!
>
> On 06/08/2018, at 11:47:22 AM you wrote:
>
>> Добрый день!
>>
>> 08.06.2018 9:59, Nikolay A. Fetisov пишет:
>>> В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет:
>>>>
>>>> ....у меня теперь вылезает:
>>>>
>>>> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak:
>>>> C=RU, ...
>>>> OpenSSL: error:1416F086:SSL
>>>> routines:tls_process_server_certificate:certificate verify failed
>>>> ...
>>>
>>> А все сертификаты изменены? И CA перегенерирована? И сертификат CA
>>> установлен?
>>
>> А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо
>> перегенерировать? А как это лучше сделать для тех клиентов, которые только
>> через VPN доступны и до которых не добраться лично?
>>
> голубиной почтой послать им base64 нового CA. Иначе никак, у вас же
> сертификаты подписаны старым CA а вы его поменяли.
Пока ещё не поменял (на компьютере, где новая версия, вписал в конфиг
tls-cipher "DEFAULT:@SECLEVEL=0") -- думаю, как всё организовать, чтобы не
скакать в разные концы на сотни километров. Можно ли как-то устроить
"переходный период" чтобы работало и старое, и новое?
--
С уважением,
Владимир.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-06-08 8:47 ` Vladimir Karpinsky
2018-06-08 9:47 ` Konstantin Lepikhov
@ 2018-07-02 10:07 ` Sergey
2018-07-02 11:40 ` Nikolay A. Fetisov
1 sibling, 1 reply; 11+ messages in thread
From: Sergey @ 2018-07-02 10:07 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Friday 08 June 2018, Vladimir Karpinsky wrote:
> > А все сертификаты изменены? И CA перегенерирована? И сертификат CA
> > установлен?
>
> А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо
> перегенерировать? А как это лучше сделать для тех клиентов, которые только
> через VPN доступны и до которых не добраться лично?
Вообще, у меня без смены CA прошло. Хватило замены клиентских сертификатов.
--
С уважением, Сергей.
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-07-02 10:07 ` Sergey
@ 2018-07-02 11:40 ` Nikolay A. Fetisov
2018-07-02 12:17 ` Sergey
0 siblings, 1 reply; 11+ messages in thread
From: Nikolay A. Fetisov @ 2018-07-02 11:40 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
В Пн, 02/07/2018 в 14:07 +0400, Sergey пишет:
> ...
> Вообще, у меня без смены CA прошло. Хватило замены клиентских
> сертификатов.
Значит, на сервере старый OpenSSL.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error
2018-07-02 11:40 ` Nikolay A. Fetisov
@ 2018-07-02 12:17 ` Sergey
0 siblings, 0 replies; 11+ messages in thread
From: Sergey @ 2018-07-02 12:17 UTC (permalink / raw)
To: sysadmins
On Monday 02 July 2018, Nikolay A. Fetisov wrote:
> > Вообще, у меня без смены CA прошло. Хватило
> > замены клиентских сертификатов.
>
> Значит, на сервере старый OpenSSL.
p7, 1.0.1u-alt0.M70P.1
--
С уважением, Сергей.
^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2018-07-02 12:17 UTC | newest]
Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2018-06-07 20:10 [Sysadmins] OpenVPN cert error Vladimir Karpinsky
2018-06-07 20:27 ` Vladimir Karpinsky
2018-06-08 4:47 ` Nikolay A. Fetisov
2018-06-08 5:12 ` Vladimir Karpinsky
2018-06-08 6:59 ` Nikolay A. Fetisov
2018-06-08 8:47 ` Vladimir Karpinsky
2018-06-08 9:47 ` Konstantin Lepikhov
2018-06-08 12:01 ` Vladimir Karpinsky
2018-07-02 10:07 ` Sergey
2018-07-02 11:40 ` Nikolay A. Fetisov
2018-07-02 12:17 ` Sergey
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git