Estamos tentando criar um aplicativo node.js que deve interagir com um servidor por meio de HTTPS (> TLS v1.2). Recebemos uma lista de arquivos chave, cert para estabelecer uma conexão com o servidor. O HTTPS do nó requer CA, cert, arquivos de chaves, que são arquivos CA, certificados de servidor e arquivos de chaves. Quando fornecidos, estamos recebendo o seguinte erro:
Error: unhandled critical extension.
Depois de passar algum tempo na internet, descobrimos que o certificado da CA tem algumas extensões personalizadas. Mais tarde, quando fizemos openssl verify -CAfile ca_file.pem server_cert.pem , poderíamos reproduzi-lo:
error 34 at 0 depth lookup:unhandled critical extension
OK
Então, isso parece ter algo a ver com o OpenSSL. Como podemos fazer OpenSSL entender nossas extensões personalizadas? Essas extensões personalizadas também são críticas, portanto, não podemos ignorar o erro definindo -ignore_critical .
Eu recebi um erro ssl no openvpn.
VERIFY ERROR: depth=1, error=unhandled critical extension: CN=xxxx
OpenSSL: error:xxx:SSL routines:tls_process_server_certificate:certificate verify failed
Eu entendo como a CA insiste em que alguns valores são críticos e não estão presentes ou errados no certificado.
O que me consertou com o OpenVPN foi transformar o 'subjectKeyIdentifier' que foi definido como critical = True, to False na CA.