openssl certificado de CA inválido

5

Estou configurando o OpenVPN de servidor para servidor com uma infra-estrutura PKI e não consigo fazê-lo funcionar. Eu suspeito que seja algo na cadeia de certificados, mas não sei explicar como. Eu tenho uma autoridade de certificação raiz offline e uma hierarquia de certificados. As CAs são gerenciadas externamente por um produto chamado EJBCA. Pictorialmente a cadeia se parece com isso (com nomes alterados):

RootCA -> OnlineSubCA -> SubCA1 -> VPNCA

Eu assinei um certificado de servidor e cliente com o CA VPNCA e tenho a cadeia de certificados nesses sistemas. Enquanto depurava o OpenVPN, tentei usar "openssl s_server" e s_client ", levando-me a acreditar que é a cadeia CA. Especificamente no servidor:

openssl s_server -cert server.cert -key server.key -CAfile chained.pem -verify 5

e no cliente

openssl s_client -cert client.cert -key client.key -CAfile chained.pem -verify 5

o servidor retrocede, entre outras coisas:

depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify error:num=24:invalid CA certificate
verify return:1
depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify error:num=26:unsupported certificate purpose
verify return:1
depth=4 C = CA, O = My Company, CN = RootCA, emailAddress = [email protected]
verify return:1
depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify return:1
depth=2 CN = SubCA1, O = My Company, C = CA
verify return:1
depth=1 CN = VPNCA
verify return:1
depth=0 C = CA, ST = , L = , O = My Company, OU = , CN = client1.mycompany.com, emailAddress = [email protected]
verify return:1

e eu estou em uma perda completa para explicar como ou por que este é o caso. O OpenVPN também falha com um erro semelhante, do cliente:

VERIFY ERROR: depth=3, error=invalid CA certificate: /C=CA/O=My_Company/CN=OnlineSubCA

Estou executando o OpenVPN 2.2.1 e OpenSSL 1.0.1 no Ubuntu 12.04. O tempo está sincronizado em ambos.

Não sei como proceder mais. Qualquer idéia / sugestão seria muito apreciada.

    
por Michael Hart 11.03.2013 / 22:17

1 resposta

11

Este é um problema com as extensões X509v3. Certificados modernos são assinados de uma maneira que indica os usos aprovados para esse tipo de certificado. Eles podem ser exibidos colocando-se o certificado em openssl x509 -text ou especificando o caminho do arquivo com -in .

No seu caso, essas mensagens de erro indicam que o certificado que você está especificando não é um certificado da CA. (a maior dica é "propósito de certificado não suportado") Usando o comando acima, exiba as informações de texto do certificado. Um certificado CA válido será lido assim:

        X509v3 Basic Constraints:
            CA:TRUE

Um certificado que não é da CA exibirá isso:

        X509v3 Basic Constraints:
            CA:FALSE

Você pode ter seus arquivos embaralhados, é uma coisa bastante fácil de fazer ao mover os arquivos. openssl x509 vai brilhar uma lupa sobre qual o conteúdo dos certificados reais.

    
por 12.03.2013 / 02:34