Как настроить OpenVPN в случае с многоуровневым УЦ?

Question

[Максим]

Есть некая схема выдачи сертификатов, в которой в разных ветках находятся серверные и пользовательские сертификаты.
т.е. УЦ->Серверный УЦ
->УЦ подразделения->Пользовательский УЦ
->Пользовательский УЦ
Я наивно предполагал, что указав в настройках openvpn корневой УЦ все будет работать, но нет.
Причем сервер запустился, ругается на клиентской машине.

При подключении ругается на сертификат

Mon Aug 31 09:13:03 2015 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: C=RU, ST=Krasnodar region, L=Eysk, O=GBUZ OD 4, OU=ServerRoom, CN=gateway.onko4, emailAddress=admin@onko4.ru

Как исправить?

Answer 1

[MrJeos]

У клиента в файле сертификата укажите так же все промежуточные сертификаты, в том числе и корневой.
Желательно то же самое сделать с сертификатом сервера.

Comments

[Максим]

да это понятно. как именно это сделать?

[MrJeos]

Максим: У вас все промежуточные сертификаты в формате PEM? Если да, то просто собираете в одном файле их по очереди: от серверного/клиентского сертификата до самого верхнего УЦ.
Получится файл вида:

-----BEGIN CERTIFICATE-----
***
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
***
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
***
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
***
-----END CERTIFICATE-----

[MrJeos]

T@maxutka: если что-то не получилось, то что?
Если помогло, отметь как решение =)

[Максим]

MrJeos: нет не помогло понятия не имею почему. сейчас нет времени с этим разбираться. я напишу в ближайшее время

[Максим]

MrJeos: я так полагаю у меня корявый уц. вот если бы мне дали ссылочку, что бы почитать про это все. какие параметры надо выставлять для этого...

[MrJeos]

Максим: Походу сертификат не подписан УЦ, т.е. совсем не имеет подписи.
Нужно подписать сертификат клиента. Возможно, лучше будет сгенерировать запрос на новый сертификат (с имеющимся на клиенте ключом) а на хосте, на котором есть нужный сертификат CA с ключом, подписать этот запрос и выдать сертификат.
habrahabr.ru/post/192446 - в этой статье (первая, которую нашел) описано как сгенерировать запрос на подпись и как подписать его. И потом уже заложить в новый файл сертификата все сертификаты промежуточных CA.

И от себя могу посоветовать для этого использовать XCA - графическая тулза для ведения своих сертификатов, в которой все эти действия можно выполнить несколькими кликами мышки.

[Максим]

MrJeos: сертификаты подписаны. промежуточный подписан корневым, клиентский промежуточным

[MrJeos]

Максим: Что скажет эта команда?

openssl verify -CAfile <path-to-yourCA.crt> <client.crt>

[Максим]

MrJeos:

[root@gateway pki]# openssl verify -CAfile ca.crt /root/ca/admin-ca/pki/issued/P                                  olyakovMI.crt
/root/ca/admin-ca/pki/issued/PolyakovMI.crt: C = RU, ST = Krasnodar region, L =                                   E***k, O = GB****4, OU = Admin, CN = ****MI, emailAddress = ****point@                                  gmail.com
error 20 at 0 depth lookup:unable to get local issuer certificate

[MrJeos]

Максим: у вас некорректно подписан сертификат.
Нужно для ключа сгенерировать новый запрос на подпись и подписать его:

openssl req -new -key <key> -out <csr>
openssl x509 -req -in <csr> -CA <ca_crt> -CAkey <ca_key> -CAcreateserial -out <out_crt> -days 5000

Answer 2

[Maximus43]

Клиент не может построить цепочку сертификатов. Проверяйте AIA caIssuer в серверном сертификате или прямо пропишите всю цепочку в параметре ca

Comments

[Максим]

Расскажите подробнее как это сделать? Хотя бы по второму пункту. Какой должен быть вид цепочки сертификатов CA на клиенте

[Maximus43]

соберите вместе все сертификаты издающих центров в формате PEM. Скопируйте их в один файл начиная с промежуточного и заканчивая корневым. Положите этот файл на клиентский компьютер. Укажите путь к этому файлу в параметре ca.

[Максим]

Maximus43: все равно не соображу. можно на примере? ведь в pem файлах хранится что то вроде этого

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 2 (0x2)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=RU, ST=Krasnodar region, L=Eysk, O=GBUZ OD 4, OU=ServerRoom, CN=GBUZ OD 4 ROOT CA/emailAddress=onko-eisk@rambler.ru
        Validity
            Not Before: Aug 30 19:27:26 2015 GMT
            Not After : Aug 29 19:27:26 2020 GMT
        Subject: C=RU, ST=Krasnodar region, L=Eysk, O=GBUZ OD 4, OU=ServerRoom, CN=PersonCA G1/emailAddress=onko-eisk@rambler.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b2:a1:dc:5d:bb:72:da:ae:18:93:34:75:bb:98:
                    8e:c7:fe:9c:11:c0:5e:60:16:71:ec:77:e4:7f:2a:
                    2b:84:c3:f1:7c:66:ba:e0:c1:a2:c8:92:d1:4c:7b:
                    21:66:38:bc:a9:07:a0:bb:ea:5e:a3:01:7d:e0:fe:
                    2a:d4:70:38:b0:0b:3e:bd:30:52:81:21:90:4e:fd:
                    e2:49:d2:aa:65:dc:7a:23:c3:87:d5:8d:5f:22:ba:
                    46:c2:29:48:7a:cf:43:7d:13:f6:32:dc:83:75:c2:
                    57:8c:07:66:a2:80:01:52:c0:81:af:1b:16:f7:49:
                    7f:88:85:ac:dc:a1:f2:20:ce:74:74:81:71:da:94:
                    30:c6:7e:bb:a8:13:10:a1:31:51:60:6c:fd:76:03:
                    41:b1:82:e3:72:2c:e2:f0:7e:bf:89:7b:7f:82:25:
                    08:80:27:21:01:9f:e7:31:35:7e:f0:5b:b9:f1:b3:
                    42:58:76:08:f5:20:49:38:d5:7a:7c:10:7c:54:34:
                    eb:ee:bd:a3:f6:97:a5:10:d9:d7:ae:7e:7d:99:c7:
                    d0:91:51:9a:83:2d:d3:00:bd:05:b0:1f:a7:6a:ba:
                    5b:9c:b4:35:39:b5:8d:9e:ca:c3:dc:06:16:8d:32:
                    be:c9:db:95:0d:15:70:1c:39:1c:84:10:35:f9:f5:
                    ee:9d
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:TRUE
            X509v3 Subject Key Identifier: 
                3F:D9:03:6B:5C:E6:48:A3:0F:0D:A7:42:95:30:64:40:60:37:8E:12
            X509v3 Authority Key Identifier: 
                keyid:AD:8D:D1:E5:60:C5:A0:57:E8:2C:3C:EA:4D:D4:D5:74:7B:F2:47:F4
                DirName:/C=RU/ST=Krasnodar region/L=Eysk/O=GBUZ OD 4/OU=ServerRoom/CN=GBUZ OD 4 ROOT CA/emailAddress=onko-eisk@rambler.ru
                serial:C7:D7:DB:58:D0:76:81:45

            X509v3 Key Usage: 
                Certificate Sign, CRL Sign
    Signature Algorithm: sha256WithRSAEncryption
         a4:5e:25:22:ce:b1:47:f4:1d:3d:a6:81:17:a8:d0:51:3d:2f:
         6f:52:13:34:7c:89:c9:c1:9a:ed:da:14:51:96:b0:ac:b7:71:
         0d:18:95:03:d6:03:51:9a:58:da:90:83:db:f5:ce:c1:b4:72:
         a1:33:5b:ac:cd:6b:da:7b:80:5a:f0:61:10:5f:34:1c:b3:36:
         ca:2b:eb:e4:3a:3c:f8:c6:41:21:81:20:6d:02:bd:c4:3b:c8:
         75:ea:1c:4f:c3:20:54:14:6f:31:01:b9:ae:bf:25:46:9e:6c:
         40:f6:9d:7b:96:3f:eb:ba:f8:ad:97:9a:d9:ca:db:3b:ae:25:
         68:5c:7e:71:46:82:0b:93:62:10:a1:5c:6b:86:03:06:55:ce:
         54:fd:39:30:da:b4:35:5a:df:f6:cd:c4:06:88:6a:bb:78:d8:
         1c:8d:9b:18:91:d1:de:bb:00:e1:dd:ad:ba:06:60:21:fc:c0:
         43:3c:fc:49:a9:87:c2:af:65:7c:ec:2f:1a:34:da:8f:fe:63:
         88:bc:18:fd:b5:26:79:da:34:9c:30:fa:32:0a:4f:cb:74:be:
         1e:ed:c9:08:50:d8:54:8a:1b:32:80:48:68:70:ab:d0:16:26:
         c9:96:a3:5c:0e:6c:47:5d:a8:e8:7f:76:cb:fd:2b:da:de:a8:
         62:33:7b:a1
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

я так понимаю, что собрать все что есть в один файл? или что то конкретное?

[Maximus43]

Скопируйте все, что между -----BEGIN CERTIFICATE----- и -----END CERTIFICATE----- включая эти строки - это будет один сертификат. Потом возьмите такой же вывод openssl для GBUZ OD 4 ROOT CA и добавьте в конец файла.
А вообще вам надо немного почитать про сертификаты, цепочки и т.п. А то двухуровневую систему создали, а что к чему не понимаете :-). CRL у вас нет, OCSP тоже. AIA на корневой не прописан. В CN пишете какую фигню с адресом электронной почты. Это же не пользовательский сертификат. Размер ключа для CA сертификата в 2048 бит - моветон. Хотя на 5 лет может и хватит :-)

[Максим]

Maximus43: так как раз и изучаю на реальном примере. спасибо)

[Максим]

Maximus43: второй вариант не сработал. Можете рассказать про первый, или поделиться каким нибудь источником, где вот это все, что вы описали рассказывается.