сертификат не пройден - Open VPN
1954
syed imty
При установлении открытого соединения vpn я сталкиваюсь с ошибкой «TLS_ERROR: BIO прочитал ошибку tls_read_plaintext: ошибка: 14090086: процедуры SSL: ssl3_get_server_certificate: сбой проверки сертификата»
Корневым центром сертификации SSL-сертификата является « Fireware web CA »
Попытка выяснить, есть ли возможность отключить проверку сертификата.
Примечание: я пытаюсь подключиться к vpn через vpn-клиент моего маршрутизатора (Asus RT-AC55UHP). Мне удалось установить VPN-соединение, используя ту же конфигурацию в моем MacBook, используя tunnelblick
Системный журнал :
openvpn[10205]: OpenVPN 2.3.2 mips-unknown-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [eurephia] [MH] [IPv6] built on Dec 1 2016 openvpn[10205]: Socket Buffers: R=[87380->131072] S=[16384->131072] openvpn[10211]: Attempting to establish TCP connection with [AF_INET]xxx.xxx.xxx.xxx:443 [nonblock] openvpn[10211]: TCP connection established with [AF_INET]xxx.xxx.xxx.xxx:443 openvpn[10211]: TCPv4_CLIENT link local: [undef] openvpn[10211]: TCPv4_CLIENT link remote: [AF_INET]xxx.xxx.xxx.xxx:443 openvpn[10211]: TLS: Initial packet from [AF_INET]xxx.xxx.xxx.xxx:443, sid=84d506xx 088122xx openvpn[10211]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this openvpn[10211]: VERIFY OK: depth=1, O=WatchGuard_Technologies, OU=Fireware, CN=Fireware SSLVPN (SN 80XX04868XXX3 2015-11-18 09:19:40 GMT) CA openvpn[10211]: Validating certificate extended key usage openvpn[10211]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS openvpn[10211]: ++ Certificate has EKU (oid) 1.3.6.1.5.5.7.3.1, expects TLS openvpn[10211]: VERIFY EKU ERROR openvpn[10211]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed openvpn[10211]: TLS Error: TLS object -> incoming plaintext read error openvpn[10211]: TLS Error: TLS handshake failed openvpn[10211]: Fatal TLS error (check_tls_errors_co), restarting openvpn[10211]: SIGUSR1[soft,tls-error] received, process restarting openvpn[10211]: Restart pause, 5 second(s)
client.ovpn:
dev tun client proto tcp <ca> -----BEGIN CERTIFICATE----- --Removed-- -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- --Removed-- -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- --Removed-- -----END PRIVATE KEY----- </key> remote-cert-eku "TLS Web Server Authentication" remote XXX.XXX.XXX.XXX 443 persist-key persist-tun verb 3 mute 20 keepalive 10 60 cipher AES-256-CBC tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA auth SHA1 float reneg-sec 3660 nobind mute-replay-warnings auth-user-pass ;remember_connection 0 ;auto_reconnect 1
Похоже, что-то не так с вашим сертификатом. Работает ли это с использованием других клиентов? Правильное использование? Это все еще действует? Это подписано с сильным хешем? (например, не SHA1 или MD5). Установлен ли в вашей системе корневой центр сертификации?
paradoxon 6 лет назад
0
Я могу подключиться к сети через tunnelblick без установки корневого CA в моей системе. Я смог подключиться к этому VPN через мой iphone с помощью приложения OpenVPN.
syed imty 6 лет назад
0
Работает ли лучше, если вы попробуете с `remote-cert-eku 1.3.6.1.5.5.7.3.1`? Может показаться, что он неправильно разбирает конфигурационный файл.
Tollef Fog Heen 6 лет назад
0
0 ответов на вопрос
Похожие вопросы
-
6
Как настроить простой VPN для безопасного интернет-соединения по незашифрованному Wi-Fi?
-
2
Удаленно отправить DNS-сервер клиенту через OpenVPN
-
4
Можете ли вы использовать OpenSSL для генерации хеша md5 или sha для каталога файлов?
-
-
1
OpenVPN подключается, но я не вижу сеть
-
1
Нужно ли мне 2 сетевых адаптера для настройки сервера OpenVPN?
-
2
Потеря сетевого подключения после отключения VPN
-
4
Одно приложение через туннель OpenVPN (Debian Lenny)
-
1
Проверьте сертификат безопасности от AusCert
-
2
Как совместить с openvpn, dynamic-ip?
-
1
OpenVPN, защищающий компьютер от доступа к частной сети