0

我想我的 SSL 证书有点搞砸了。我们为所有 OpenVPN 客户端使用 SSL 证书(witch 完美运行),使用 easy-rsa 工具包生成。

现在我想为 OpenVPN 主机上的 Web 服务器使用相同的证书

所有密钥都是 4096 位长。

我的想法是 mybe 的使用目的对于 apache 是错误的,但我不太确定。

root@howard~# openssl x509 -in howard.example.com.crt -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 15 (0xf)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=AT, ST=STMK, L=Graz, O=Bee Company, OU=Root CA, CN=example.com/name=rootca/emailAddress=root@bee.example.com
        Validity
            Not Before: Aug 13 12:36:41 2013 GMT
            Not After : Aug 11 12:36:41 2023 GMT
        Subject: C=AT, ST=STMK, L=Graz, O=example.com.at, OU=changeme, CN=howard.example.com/name=howard.example.com/emailAddress=root@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                    NOTHING_TO_READ_HERE :)
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                Easy-RSA Generated Certificate
            X509v3 Subject Key Identifier:
                NOTHING_TO_READ_HERE :)
            X509v3 Authority Key Identifier:
                keyid:NOTHING_TO_READ_HERE :)
                DirName:/C=AT/ST=STMK/L=Graz/O=Bee Company/OU=Root CA/CN=example.com/name=rootca/emailAddress=root@bee.example.com
                serial:NOTHING_TO_READ_HERE :)

            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Key Usage:
                Digital Signature
    Signature Algorithm: sha1WithRSAEncryption

当我使用 easy-rsa 工具包生成密钥时,我不知道如何更改/添加密钥的用途。

我在生成新的 OpenVPN 证书时所做的一切:

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
vi vars
. ./vars
./build-key CLIENTNAME

在 vars 文件中我找不到任何东西。

但是 Firefox 正在返回一个

sec_error_inadequate_cert_type

如果我真的信任这个证书,微软的 IE 只是一遍又一遍地提示我......

关于我做错了什么或我需要做什么的任何想法?

我的想法是 apache 无法处理 4096 位密钥...

4

3 回答 3

5

您的密钥用法和扩展密钥用法显然不适用于 TLS 服务器:

        X509v3 Extended Key Usage:
            TLS Web Client Authentication
        X509v3 Key Usage:
            Digital Signature

对于 Web 服务器,您显然需要“TLS Web 服务器身份验证”扩展密钥用法。

对于密钥的使用,它不太明显,但您也需要密钥加密。

更多细节:

于 2013-08-14T09:37:58.773 回答
1

实际上,您可以使用 easy-rsa 执行此操作 - 只需使用build-key-server而不是build-key

于 2013-12-04T12:51:33.337 回答
0

我遇到了同样的问题,但是通过使用 OpenVPN easyrsa 中包含的 openssl.config 我发现您可以使用 ./build-key-server 脚本(对不起,如果我不准确,但我在 Windows 上使用 OpenVPN ) 奇迹般有效 :)

于 2013-12-21T23:39:36.820 回答