@Free0wl

Как правильно создать сертификаты accel-ppp для SSTP?

Подскажите, пожалуйста, как создать сертификаты accel-ppp для SSTP?
#ssl-ca-file=/etc/ssl/sstp-ca.crt
#ssl-pemfile=/etc/ssl/sstp-cert.pem
#ssl-keyfile=/etc/ssl/sstp-key.pem

спасибо за помощь.
  • Вопрос задан
  • 477 просмотров
Пригласить эксперта
Ответы на вопрос 3
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Стандартно для SSL сертификатов.
Для самоподписанных - зависит от вашей инфраструктуры, инструкции есть в Сети.
Можно использовать letsencrypt, или любой другой центр сертификации.
ca - это файл корневого УЦ,
pem - ваш сертификат,
keyfile - приватный ключ.
Ответ написан
Комментировать
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Так же как и любые другие. Ну или если у них есть особые требования по содержанию - сначала openssl.cnf подпилить. По созданию самоподписанных сертификатов - зиллион статей в гугле.
Первый параметр - сертификат CA, в котором выпускали сертификат
Второй параметр - собственно сертификат. Формат PEM (а не DER!)
Третий параметр - ключ сертификата. Формат PEM, без пароля.
Ответ написан
Комментировать
@Free0wl Автор вопроса
не удалось победить.
делаю так:
1. мой CNF
camy.cnf
[ ca ]
default_ca = CA_default

[ CA_default ]
serial = ca-serial
crl = ca-crl.pem
default_crl_days = 3650
default_md = md5

[ req ]
default_bits = 2048
days = 3650
distinguished_name = req_distinguished_name
attributes = req_attributes
prompt = no

[ req_distinguished_name ]
C = RU
ST = MO
L = Moscow
O = BL
OU = BLITdep
CN = ca
emailAddress = admin@vdebian.homenet.home

[ req_attributes ]

1. корневой ключ
openssl genrsa -out sstp-ca.key
2. корневой сертификат.
openssl req -x509 -new -key sstp-ca.key -days 3650 -out sstp-ca.crt -config camy.cnf
3. ключ для sstp
openssl genrsa -out sstp-key.pem
4. запрос на сертификат
openssl req -new -key sstp-key.pem -out sstp-csr.csr -config camy.cnf
5. подписать запрос на сертификат корневым сертификатом
openssl x509 -req -in sstp-csr.csr -CA sstp-ca.crt -CAkey sstp-ca.key -CAcreateserial -out sstp-cert.pem -days 3650
6. импортирую "sstp-ca.crt" в Windows "Доверенные корневые центры сертификации -> Локальный компьютер -> Сертификаты"

секция SSTP в конфиге
[sstp]
verbose=1
bind=0.0.0.0
accept=ssl
ssl-ca-file=/etc/accel-ppp/ssl/sstp-ca.crt
ssl-pemfile=/etc/accel-ppp/ssl/sstp-cert.pem
ssl-keyfile=/etc/accel-ppp/ssl/sstp-key.pem
cert-hash-proto=sha256
http-error=allow
ifname=sstp%d

при подключении:
"не удаётся проверить подпись сертификата"

чего я делаю не так?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы