Saya sedang menyiapkan server-ke-server OpenVPN dengan infrastruktur PKI, dan tidak dapat membuatnya berfungsi. Saya curiga ada sesuatu dalam rantai sertifikat, tetapi saya bingung menjelaskan caranya. Saya memiliki Root CA offline, dan hierarki sertifikat. CA dikelola secara eksternal oleh produk yang disebut EJBCA. Secara bergambar rantai terlihat seperti ini (dengan nama berubah):
RootCA -> OnlineSubCA -> SubCA1 -> VPNCA
Saya menandatangani sertifikat server dan klien dengan CA VPNCA, dan memiliki rantai sertifikat pada sistem tersebut. Ketika debugging OpenVPN saya mencoba menggunakan "openssl s_server" dan s_client ", membuat saya percaya bahwa itu adalah rantai CA. Khususnya di server:
openssl s_server -cert server.cert -key server.key -CAfile chained.pem -verify 5
dan pada klien
openssl s_client -cert client.cert -key client.key -CAfile chained.pem -verify 5
server membalas, antara lain:
depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify error:num=24:invalid CA certificate
verify return:1
depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify error:num=26:unsupported certificate purpose
verify return:1
depth=4 C = CA, O = My Company, CN = RootCA, emailAddress = certs@mycompany.com
verify return:1
depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify return:1
depth=2 CN = SubCA1, O = My Company, C = CA
verify return:1
depth=1 CN = VPNCA
verify return:1
depth=0 C = CA, ST = , L = , O = My Company, OU = , CN = client1.mycompany.com, emailAddress = pki@mycompany.com
verify return:1
dan saya benar-benar bingung untuk menjelaskan bagaimana atau mengapa ini terjadi. OpenVPN juga gagal dengan kesalahan serupa, dari klien:
VERIFY ERROR: depth=3, error=invalid CA certificate: /C=CA/O=My_Company/CN=OnlineSubCA
Saya menjalankan OpenVPN 2.2.1 dan OpenSSL 1.0.1 di Ubuntu 12.04. Waktu sinkron pada keduanya.
Saya bingung bagaimana melanjutkan lebih jauh. Setiap ide / saran akan sangat dihargai.