From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mail.ru; s=mail2; h=Content-Transfer-Encoding:Content-Type:In-Reply-To:MIME-Version:Date:Message-ID:From:References:To:Subject; bh=Oul+0zjs3K2mMcJeATDS9RcZtSblmsZoK3BBWmCSi5w=; b=pXlZ1aAuUPWc2NlglplphDdhfiSUqXxZKyGc91DywIrrFiToju7oFeK9vUHAk2Hx9h9/UXDKB8KEcAzS0HQ6QOnz+jacDLhZ//7bFb2i0oDnX3pgdVlhl5X/QFCzlQQXz9kzwnUQEhv7ueM9nQGS8JXpvnxz4E+jl7l6vXjs9Ko=; To: sysadmins@lists.altlinux.org References: <6324a70c403b679b2d74834e00026d7876a9c6f0.camel@naf.net.ru> <67f7f3f3-a4d8-ff9c-a768-aeda8336b16b@mail.ru> <20180608094712.GA28569@lks.home> From: Vladimir Karpinsky Message-ID: Date: Fri, 8 Jun 2018 15:01:31 +0300 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.8.0 MIME-Version: 1.0 In-Reply-To: <20180608094712.GA28569@lks.home> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Language: Russian-English Content-Transfer-Encoding: 8bit Authentication-Results: smtp54.i.mail.ru; auth=pass smtp.auth=vkarpinsky@mail.ru smtp.mailfrom=vkarpinsky@mail.ru X-7FA49CB5: 0D63561A33F958A5477D7A4398FD95D814B846EF41A8725B10E20C7CAAD6F8310A6AB1C7CE11FEE34AF66DFF1D4D208B76E601842F6C81A1F004C906525384306FED454B719173D6725E5C173C3A84C3517AAFC1974B5A179DD051A01931439E89C8E7BF4648B176C4224003CC836476C0CAF46E325F83A50BF2EBBBDD9D6B0F6EA4BF8EC8CD4BCE574AF45C6390F7469DAA53EE0834AAEE X-Mailru-Sender: 47CC51BD8988F12311C17B824601663D51603C6CF6E0C40F37A7FF2803E48C3285BAED0B85459E8E189086648D43AF80C77752E0C033A69E9629CB05D30F4213116F0678BC710751AE208404248635DF X-Mras: OK Subject: Re: [Sysadmins] OpenVPN cert error X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 08 Jun 2018 12:01:36 -0000 Archived-At: List-Archive: 08.06.2018 12:47, Konstantin Lepikhov пишет: > Hi Vladimir! > > On 06/08/2018, at 11:47:22 AM you wrote: > >> Добрый день! >> >> 08.06.2018 9:59, Nikolay A. Fetisov пишет: >>> В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: >>>> >>>> ....у меня теперь вылезает: >>>> >>>> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: >>>> C=RU, ... >>>> OpenSSL: error:1416F086:SSL >>>> routines:tls_process_server_certificate:certificate verify failed >>>> ... >>> >>> А все сертификаты изменены? И CA перегенерирована? И сертификат CA >>> установлен? >> >> А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо >> перегенерировать? А как это лучше сделать для тех клиентов, которые только >> через VPN доступны и до которых не добраться лично? >> > голубиной почтой послать им base64 нового CA. Иначе никак, у вас же > сертификаты подписаны старым CA а вы его поменяли. Пока ещё не поменял (на компьютере, где новая версия, вписал в конфиг tls-cipher "DEFAULT:@SECLEVEL=0") -- думаю, как всё организовать, чтобы не скакать в разные концы на сотни километров. Можно ли как-то устроить "переходный период" чтобы работало и старое, и новое? -- С уважением, Владимир.