AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

Singularity, nejnovější otevřený film od Blender Studia

včera 17:22 | Komunita

Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.

Ladislav Hagara | Komentářů: 0

Vyšla hra Život Není Krásný: Poslední Exekuce

včera 16:55 | Zajímavý software

Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.

Ladislav Hagara | Komentářů: 3

Fedora Hummingbird Linux

včera 14:00 | Zajímavý projekt

Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.

Pinhead | Komentářů: 4

Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních

včera 02:22 | Zajímavý software

Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

Ladislav Hagara | Komentářů: 0

Erlang/OTP 29.0

včera 01:11 | Nová verze

Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0

Zranitelnost Fragnesia

13.5. 21:22 | Bezpečnostní upozornění

Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.

Ladislav Hagara | Komentářů: 1

Sovereign Tech Agency podpoří KDE částkou 1 285 200 eur

13.5. 14:00 | Komunita

Sovereign Tech Agency (Wikipedie) prostřednictvím svého fondu Sovereign Tech Fund podpoří KDE částkou 1 285 200 eur.

Ladislav Hagara | Komentářů: 8

The Android Show | I/O Edition 2026

13.5. 12:55 | IT novinky

Google na včerejší akci The Android Show | I/O Edition 2026 (YouTube) představil celou řadu novinek: Gemini Intelligence, notebooky Googlebook, novou generaci Android Auto, …

Ladislav Hagara | Komentářů: 0

EK chystá pravidla pro věkové omezení sociálních sítí, řekla von der Leyenová

13.5. 12:33 | IT novinky

Evropská komise by do léta mohla předložit návrh normy omezující používání sociálních sítí dětmi v zájmu jejich bezpečí na internetu. Prohlásila to včera předsedkyně EK Ursula von der Leyenová, podle níž řada zemí Evropské unie volá po zavedení věkové hranice pro sociální sítě. EU částečně řeší bezpečnost dětí v digitálním prostředí v již platném nařízení o digitálních službách (DSA), podle německé političky to však není dostatečné a

… více »

Ladislav Hagara | Komentářů: 50

scrcpy 4.0

13.5. 04:11 | Nová verze

Multiplatformní open source aplikace scrcpy (Wikipedie) pro zrcadlení připojeného zařízení se systémem Android na desktopu a umožňující ovládání tohoto zařízení z desktopu, byla vydána v nové verzi 4.0.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / openvpn výměna cerifikátu

Štítky: cam, certifikat, data, distribuce, error, hash, Internet, openSUSE, OpenVPN, otázky, packet, problém, spojení, TLS, vytvořil

Dotaz: openvpn výměna cerifikátu

6.10.2015 07:04 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
openvpn výměna cerifikátu

Přečteno: 390×

Odpovědět | Admin

Dobrý den, poté co vypršela platnost certifikátu serveru podepsaného našim samopodepsaným podnikovým, jsem u openVPN serveru vyměnil certifikáty, nyní se nemůžu k serveru připojit.

Jelikož ta výměna byla kompletní (i s tím podnikovým) a nyní jsem certifikát vytvořil v openSuse CA manageru, chci se zeptat, jestli ten problém nevězí ve starém dh2048.pem .. tedy že by tento soubor měl být vytvořen nový, když i certifikát serveru je jiný.

Bloumal jsem včera po internetu a hledal nějakou nápovědu k tomuto, ale jsem z toho stejný jelen, jako když jsem začal. Navíc, jak v CA manageru vytvořím dh-parametr ? nebo ho má CAM někde vytvořený ? Prostě samé otázky, a málo odpovědí

Nemám pochopitelně jistotu, že problém je v DH parametru, jen mně to napadlo, protože těmto kejklům moc nerozumím...

zde výpis seance ze serveru. Na klientovi se po tuším minutě jen oznámí handshake error nebo tak, a pokus o spojení se restartuje

Mon Oct  5 21:27:19 2015 MULTI: multi_create_instance called
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 Re-using SSL/TLS context
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 LZO compression initialized
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 Local Options hash (VER=V4): '530fdded'
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 Expected Remote Options hash (VER=V4): '41690919'
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 TLS: Initial packet from 93.91.149.5:1488, sid=ac10d7b8 34235c81
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: /C=CZ/ST=kkk/L=lll/O=ooo/OU=ouou/CN=nnn/emailAddress=nnn@ddd.cz
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificat
e returned
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 TLS Error: TLS object -> incoming plaintext read error
Mon Oct  5 21:27:19 2015 93.91.149.5:1488 TLS Error: TLS handshake failed

Řešení dotazu:

Komentář #1 (NN, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

Řešení 1× (Milan Uhrák (tazatel))

6.10.2015 09:41 NN
Rozbalit Rozbalit vše Re: openvpn výměna cerifikátu

Podle:

unable to get local issuer certificate

To vypada, ze se nepodarilo overit klientsky certifikat u CA. Protoze go nemuze najit:

SSL3_GET_CLIENT_CERTIFICATE:no certificat

Otestuj:

openssl verify -CAfile CA.crt kloient.crt

7.10.2015 13:58 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: openvpn výměna cerifikátu

NN, děkuji za opět správnou odpověď a dokonce i návod, co dále. Bohužel mi výsledek verifikace nedává smysl.

error 2 at 1 depth lookup:unable to get issuer certificate

má být klientský certifikát zřetězen tzn obsahovat i certifikát vydavatele ?

Klientský certifikát vypadá takto :

openssl x509 -text  -in klient.crt
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=CZ, ST=kk, L=ll, O=ooo, CN=Podnik Personals CA
        Validity
            Not Before: Sep 25 10:54:29 2015 GMT
            Not After : Sep 24 10:54:29 2017 GMT
        Subject: C=CZ, ST=kk, L=ll, O=ooo, OU=OC, CN=klient/emailAddress=klient@podnik.cz
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
 xxxxxxxxxxx
 xxxxxxxxxxx
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                YaST Generated Client Certificate
            Netscape Cert Type: 
                SSL Client, S/MIME, Object Signing
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Subject Key Identifier: 
                72:8D:85:99:56:47:4B:79:15:1B:CE:48:16:84:D5:A6:EC:77:28:CC
            X509v3 Authority Key Identifier: 
                keyid:FB:36:9D:C2:FB:C0:A9:39:DD:5E:42:54:59:0E:61:E1:C6:26:02:A9
                DirName:/C=CZ/ST=kk/L=ll/O=podnik/CN=podnik ROOT CA/emailAddress=rootca@podnik.cz
                serial:02
            X509v3 Subject Alternative Name: 
                email:doubravova.hana@jednota.podborany.cz
    Signature Algorithm: sha1WithRSAEncryption
 xxxxxxxxxxxxx
 xxxxxxxxxxxxx
-----BEGIN CERTIFICATE-----
 xxxxxxx
 xxxxxxx
-----END CERTIFICATE-----

pokud se v tom vyznáte a máte nějaký nápad, budu vděčný.

Milan

7.10.2015 15:17 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: openvpn výměna cerifikátu

Tak jsem zkusil přidat do klientského certifikátu všechny ostatní CA certifikáty a pořád to samé

7.10.2015 15:26 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: openvpn výměna cerifikátu

Tak to vyzerá na situaci, kdy nedokáže verifikovat tu moji podřízenou CA_Personals ..

http://www.herongyang.com/Cryptography/OpenSSL-Certificate-Path-Validation-Tests.html

čili jsem měl od začátku špatný přístup... Nebo se dá toto nějak nakonfigurovat .. ?

7.10.2015 17:08 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: openvpn výměna cerifikátu

Vyřešeno ... klientské certifikáty musí být podepsány kořenovou CA

NN, děkuji za nasměrování

7.10.2015 17:12 NN
Rozbalit Rozbalit vše Re: openvpn výměna cerifikátu

Super, pekny den.

Založit nové vlákno • Nahoru

Tiskni Sdílej: