Задать вопрос
@Free0wl
linux

Как правильно создать сертификаты accel-ppp для SSTP?

Подскажите, пожалуйста, как создать сертификаты accel-ppp для SSTP?
#ssl-ca-file=/etc/ssl/sstp-ca.crt
#ssl-pemfile=/etc/ssl/sstp-cert.pem
#ssl-keyfile=/etc/ssl/sstp-key.pem

спасибо за помощь.
  • Вопрос задан
  • 398 просмотров
Комментировать
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 3
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Стандартно для SSL сертификатов.
Для самоподписанных - зависит от вашей инфраструктуры, инструкции есть в Сети.
Можно использовать letsencrypt, или любой другой центр сертификации.
ca - это файл корневого УЦ,
pem - ваш сертификат,
keyfile - приватный ключ.
Ответ написан
Комментировать
Комментировать
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
Так же как и любые другие. Ну или если у них есть особые требования по содержанию - сначала openssl.cnf подпилить. По созданию самоподписанных сертификатов - зиллион статей в гугле.
Первый параметр - сертификат CA, в котором выпускали сертификат
Второй параметр - собственно сертификат. Формат PEM (а не DER!)
Третий параметр - ключ сертификата. Формат PEM, без пароля.
Ответ написан
Комментировать
Комментировать
@Free0wl Автор вопроса
не удалось победить.
делаю так:
1. мой CNF
camy.cnf
[ ca ]
default_ca = CA_default

[ CA_default ]
serial = ca-serial
crl = ca-crl.pem
default_crl_days = 3650
default_md = md5

[ req ]
default_bits = 2048
days = 3650
distinguished_name = req_distinguished_name
attributes = req_attributes
prompt = no

[ req_distinguished_name ]
C = RU
ST = MO
L = Moscow
O = BL
OU = BLITdep
CN = ca
emailAddress = admin@vdebian.homenet.home

[ req_attributes ]

1. корневой ключ
openssl genrsa -out sstp-ca.key
2. корневой сертификат.
openssl req -x509 -new -key sstp-ca.key -days 3650 -out sstp-ca.crt -config camy.cnf
3. ключ для sstp
openssl genrsa -out sstp-key.pem
4. запрос на сертификат
openssl req -new -key sstp-key.pem -out sstp-csr.csr -config camy.cnf
5. подписать запрос на сертификат корневым сертификатом
openssl x509 -req -in sstp-csr.csr -CA sstp-ca.crt -CAkey sstp-ca.key -CAcreateserial -out sstp-cert.pem -days 3650
6. импортирую "sstp-ca.crt" в Windows "Доверенные корневые центры сертификации -> Локальный компьютер -> Сертификаты"

секция SSTP в конфиге
[sstp]
verbose=1
bind=0.0.0.0
accept=ssl
ssl-ca-file=/etc/accel-ppp/ssl/sstp-ca.crt
ssl-pemfile=/etc/accel-ppp/ssl/sstp-cert.pem
ssl-keyfile=/etc/accel-ppp/ssl/sstp-key.pem
cert-hash-proto=sha256
http-error=allow
ifname=sstp%d

при подключении:
"не удаётся проверить подпись сертификата"

чего я делаю не так?
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Программист C для Embedded Linux
Radiofid Санкт-Петербург
от 120 000 до 180 000 ₽
Linux Администратор DevOps
ИМАГ Москва
от 150 000 до 170 000 ₽
Программист C/C++ embedded Linux
РТК Автоматика Москва
от 170 000 до 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Необходимо сверстать приложение согласно макету Figma используя React
26 апр. 2024, в 22:22
1500 руб./за проект
Написать модуль подключения матрицы Sony к ПЛИС (Verilog)
26 апр. 2024, в 21:30
15000 руб./за проект
8266 f12 требуется сделать ревью и оптимизировать работу
26 апр. 2024, в 20:42
2000 руб./за проект
Ещё заказы