* [Sysadmins] OpenVPN cert error @ 2018-06-07 20:10 Vladimir Karpinsky 2018-06-07 20:27 ` Vladimir Karpinsky 2018-06-08 4:47 ` Nikolay A. Fetisov 0 siblings, 2 replies; 11+ messages in thread From: Vladimir Karpinsky @ 2018-06-07 20:10 UTC (permalink / raw) To: sysadmins Здравствуйте! При обновлении виндового клиента OpenVPN до версии 2.4.6 он перестал подключаться с руганью: OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak На сервере (Альт p8) перегенерировал через альтератор сертификат, но безрезультатно. В /etc/openssl/openssl.cnf написано: default_md = sha256 М.б. альтератор откуда-то из другого места конфиг читает? -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-06-07 20:10 [Sysadmins] OpenVPN cert error Vladimir Karpinsky @ 2018-06-07 20:27 ` Vladimir Karpinsky 2018-06-08 4:47 ` Nikolay A. Fetisov 1 sibling, 0 replies; 11+ messages in thread From: Vladimir Karpinsky @ 2018-06-07 20:27 UTC (permalink / raw) To: sysadmins 07.06.2018 23:10, Vladimir Karpinsky пишет: > Здравствуйте! > > При обновлении виндового клиента OpenVPN до версии 2.4.6 он перестал > подключаться с руганью: > OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak > > На сервере (Альт p8) перегенерировал через альтератор сертификат, но > безрезультатно. В /etc/openssl/openssl.cnf написано: > > default_md = sha256 > > М.б. альтератор откуда-то из другого места конфиг читает? Нашёл md5 в /usr/share/alterator-ca/CA.cnf, поменял на sha256: default_md = sha256 Теперь получаю: VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=RU, ... OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-06-07 20:10 [Sysadmins] OpenVPN cert error Vladimir Karpinsky 2018-06-07 20:27 ` Vladimir Karpinsky @ 2018-06-08 4:47 ` Nikolay A. Fetisov 2018-06-08 5:12 ` Vladimir Karpinsky 1 sibling, 1 reply; 11+ messages in thread From: Nikolay A. Fetisov @ 2018-06-08 4:47 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Здравствуйте! В Чт, 07/06/2018 в 23:10 +0300, Vladimir Karpinsky пишет: > При обновлении виндового клиента OpenVPN до версии 2.4.6 он перестал > подключаться с руганью: > OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md > too weak > .... > > М.б. альтератор откуда-то из другого места конфиг читает? Уже было здесь в марте: https://lists.altlinux.org/pipermail/sysadmins/2018-March/037921.html https://bugzilla.altlinux.org/show_bug.cgi?id=34441 -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-06-08 4:47 ` Nikolay A. Fetisov @ 2018-06-08 5:12 ` Vladimir Karpinsky 2018-06-08 6:59 ` Nikolay A. Fetisov 0 siblings, 1 reply; 11+ messages in thread From: Vladimir Karpinsky @ 2018-06-08 5:12 UTC (permalink / raw) To: sysadmins Здравствуйте! 08.06.2018 07:47, Nikolay A. Fetisov пишет: > В Чт, 07/06/2018 в 23:10 +0300, Vladimir Karpinsky пишет: >> При обновлении виндового клиента OpenVPN до версии 2.4.6 он перестал >> подключаться с руганью: >> OpenSSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md >> too weak >> .... >> >> М.б. альтератор откуда-то из другого места конфиг читает? > > Уже было здесь в марте: > https://lists.altlinux.org/pipermail/sysadmins/2018-March/037921.html > https://bugzilla.altlinux.org/show_bug.cgi?id=34441 Этоя уже нашёл, но у меня теперь вылезает: VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=RU, ... OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed TLS_ERROR: BIO read tls_read_plaintext error TLS Error: TLS object -> incoming plaintext read error TLS Error: TLS handshake failed TCP/UDP: Closing socket SIGUSR1[soft,tls-error] received, process restarting Restart pause, 5 second(s) потом 10 секунд и т.д. -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-06-08 5:12 ` Vladimir Karpinsky @ 2018-06-08 6:59 ` Nikolay A. Fetisov 2018-06-08 8:47 ` Vladimir Karpinsky 0 siblings, 1 reply; 11+ messages in thread From: Nikolay A. Fetisov @ 2018-06-08 6:59 UTC (permalink / raw) To: ALT Linux sysadmins' discussion В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: > > ....у меня теперь вылезает: > > VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: > C=RU, ... > OpenSSL: error:1416F086:SSL > routines:tls_process_server_certificate:certificate verify failed > ... А все сертификаты изменены? И CA перегенерирована? И сертификат CA установлен? -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-06-08 6:59 ` Nikolay A. Fetisov @ 2018-06-08 8:47 ` Vladimir Karpinsky 2018-06-08 9:47 ` Konstantin Lepikhov 2018-07-02 10:07 ` Sergey 0 siblings, 2 replies; 11+ messages in thread From: Vladimir Karpinsky @ 2018-06-08 8:47 UTC (permalink / raw) To: sysadmins Добрый день! 08.06.2018 9:59, Nikolay A. Fetisov пишет: > В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: >> >> ....у меня теперь вылезает: >> >> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: >> C=RU, ... >> OpenSSL: error:1416F086:SSL >> routines:tls_process_server_certificate:certificate verify failed >> ... > > А все сертификаты изменены? И CA перегенерирована? И сертификат CA > установлен? А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо перегенерировать? А как это лучше сделать для тех клиентов, которые только через VPN доступны и до которых не добраться лично? -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-06-08 8:47 ` Vladimir Karpinsky @ 2018-06-08 9:47 ` Konstantin Lepikhov 2018-06-08 12:01 ` Vladimir Karpinsky 2018-07-02 10:07 ` Sergey 1 sibling, 1 reply; 11+ messages in thread From: Konstantin Lepikhov @ 2018-06-08 9:47 UTC (permalink / raw) To: sysadmins Hi Vladimir! On 06/08/2018, at 11:47:22 AM you wrote: > Добрый день! > > 08.06.2018 9:59, Nikolay A. Fetisov пишет: > > В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: > >> > >> ....у меня теперь вылезает: > >> > >> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: > >> C=RU, ... > >> OpenSSL: error:1416F086:SSL > >> routines:tls_process_server_certificate:certificate verify failed > >> ... > > > > А все сертификаты изменены? И CA перегенерирована? И сертификат CA > > установлен? > > А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо > перегенерировать? А как это лучше сделать для тех клиентов, которые только > через VPN доступны и до которых не добраться лично? > голубиной почтой послать им base64 нового CA. Иначе никак, у вас же сертификаты подписаны старым CA а вы его поменяли. -- WBR et al. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-06-08 9:47 ` Konstantin Lepikhov @ 2018-06-08 12:01 ` Vladimir Karpinsky 0 siblings, 0 replies; 11+ messages in thread From: Vladimir Karpinsky @ 2018-06-08 12:01 UTC (permalink / raw) To: sysadmins 08.06.2018 12:47, Konstantin Lepikhov пишет: > Hi Vladimir! > > On 06/08/2018, at 11:47:22 AM you wrote: > >> Добрый день! >> >> 08.06.2018 9:59, Nikolay A. Fetisov пишет: >>> В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: >>>> >>>> ....у меня теперь вылезает: >>>> >>>> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: >>>> C=RU, ... >>>> OpenSSL: error:1416F086:SSL >>>> routines:tls_process_server_certificate:certificate verify failed >>>> ... >>> >>> А все сертификаты изменены? И CA перегенерирована? И сертификат CA >>> установлен? >> >> А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо >> перегенерировать? А как это лучше сделать для тех клиентов, которые только >> через VPN доступны и до которых не добраться лично? >> > голубиной почтой послать им base64 нового CA. Иначе никак, у вас же > сертификаты подписаны старым CA а вы его поменяли. Пока ещё не поменял (на компьютере, где новая версия, вписал в конфиг tls-cipher "DEFAULT:@SECLEVEL=0") -- думаю, как всё организовать, чтобы не скакать в разные концы на сотни километров. Можно ли как-то устроить "переходный период" чтобы работало и старое, и новое? -- С уважением, Владимир. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-06-08 8:47 ` Vladimir Karpinsky 2018-06-08 9:47 ` Konstantin Lepikhov @ 2018-07-02 10:07 ` Sergey 2018-07-02 11:40 ` Nikolay A. Fetisov 1 sibling, 1 reply; 11+ messages in thread From: Sergey @ 2018-07-02 10:07 UTC (permalink / raw) To: ALT Linux sysadmins' discussion On Friday 08 June 2018, Vladimir Karpinsky wrote: > > А все сертификаты изменены? И CA перегенерирована? И сертификат CA > > установлен? > > А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо > перегенерировать? А как это лучше сделать для тех клиентов, которые только > через VPN доступны и до которых не добраться лично? Вообще, у меня без смены CA прошло. Хватило замены клиентских сертификатов. -- С уважением, Сергей. ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-07-02 10:07 ` Sergey @ 2018-07-02 11:40 ` Nikolay A. Fetisov 2018-07-02 12:17 ` Sergey 0 siblings, 1 reply; 11+ messages in thread From: Nikolay A. Fetisov @ 2018-07-02 11:40 UTC (permalink / raw) To: ALT Linux sysadmins' discussion В Пн, 02/07/2018 в 14:07 +0400, Sergey пишет: > ... > Вообще, у меня без смены CA прошло. Хватило замены клиентских > сертификатов. Значит, на сервере старый OpenSSL. -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] OpenVPN cert error 2018-07-02 11:40 ` Nikolay A. Fetisov @ 2018-07-02 12:17 ` Sergey 0 siblings, 0 replies; 11+ messages in thread From: Sergey @ 2018-07-02 12:17 UTC (permalink / raw) To: sysadmins On Monday 02 July 2018, Nikolay A. Fetisov wrote: > > Вообще, у меня без смены CA прошло. Хватило > > замены клиентских сертификатов. > > Значит, на сервере старый OpenSSL. p7, 1.0.1u-alt0.M70P.1 -- С уважением, Сергей. ^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2018-07-02 12:17 UTC | newest] Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2018-06-07 20:10 [Sysadmins] OpenVPN cert error Vladimir Karpinsky 2018-06-07 20:27 ` Vladimir Karpinsky 2018-06-08 4:47 ` Nikolay A. Fetisov 2018-06-08 5:12 ` Vladimir Karpinsky 2018-06-08 6:59 ` Nikolay A. Fetisov 2018-06-08 8:47 ` Vladimir Karpinsky 2018-06-08 9:47 ` Konstantin Lepikhov 2018-06-08 12:01 ` Vladimir Karpinsky 2018-07-02 10:07 ` Sergey 2018-07-02 11:40 ` Nikolay A. Fetisov 2018-07-02 12:17 ` Sergey
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git