Re: [Sysadmins] OpenVPN cert error
08.06.2018 12:47, Konstantin Lepikhov пишет: Hi Vladimir! On 06/08/2018, at 11:47:22 AM you wrote: Добрый день! 08.06.2018 9:59, Nikolay A. Fetisov пишет: В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: у меня теперь вылезает: VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=RU, ... OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed ... А все сертификаты изменены? И CA перегенерирована? И сертификат CA установлен? А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо перегенерировать? А как это лучше сделать для тех клиентов, которые только через VPN доступны и до которых не добраться лично? голубиной почтой послать им base64 нового CA. Иначе никак, у вас же сертификаты подписаны старым CA а вы его поменяли. Пока ещё не поменял (на компьютере, где новая версия, вписал в конфиг tls-cipher "DEFAULT:@SECLEVEL=0") -- думаю, как всё организовать, чтобы не скакать в разные концы на сотни километров. Можно ли как-то устроить "переходный период" чтобы работало и старое, и новое? -- С уважением, Владимир. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN cert error
Hi Vladimir! On 06/08/2018, at 11:47:22 AM you wrote: > Добрый день! > > 08.06.2018 9:59, Nikolay A. Fetisov пишет: > > В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: > >> > >> у меня теперь вылезает: > >> > >> VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: > >> C=RU, ... > >> OpenSSL: error:1416F086:SSL > >> routines:tls_process_server_certificate:certificate verify failed > >> ... > > > > А все сертификаты изменены? И CA перегенерирована? И сертификат CA > > установлен? > > А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо > перегенерировать? А как это лучше сделать для тех клиентов, которые только > через VPN доступны и до которых не добраться лично? > голубиной почтой послать им base64 нового CA. Иначе никак, у вас же сертификаты подписаны старым CA а вы его поменяли. -- WBR et al. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN cert error
Добрый день! 08.06.2018 9:59, Nikolay A. Fetisov пишет: В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: у меня теперь вылезает: VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=RU, ... OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed ... А все сертификаты изменены? И CA перегенерирована? И сертификат CA установлен? А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо перегенерировать? А как это лучше сделать для тех клиентов, которые только через VPN доступны и до которых не добраться лично? -- С уважением, Владимир. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] OpenVPN cert error
В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет: > > у меня теперь вылезает: > > VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: > C=RU, ... > OpenSSL: error:1416F086:SSL > routines:tls_process_server_certificate:certificate verify failed > ... А все сертификаты изменены? И CA перегенерирована? И сертификат CA установлен? -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins