• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[Gelöst] nm-openvpn: certificate verify failed

gehrke

gehrke

Administrator
Teammitglied
Moin *,

ich habe Probleme, ein VPN von einem Fedora23-Client mit dem Network-Manager aus aufzubauen. Ich vermute stark, dass es am Client oder dem Zusammenspiel zwischen Client und Server liegt, weil ich mit exakt den selben Zertifikaten zu diesem Server mit einem Client auf Basis von openSUSE 13.1 keine Probleme habe.

Ich bekomme diese Fehlermeldung:
Code: 
Dez 17 11:00:14 j7 nm-openvpn[2328]: TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Dez 17 11:00:14 j7 nm-openvpn[2328]: TLS Error: TLS object -> incoming plaintext read error
Dez 17 11:00:14 j7 nm-openvpn[2328]: TLS Error: TLS handshake failed
Irgendwas scheint dieser Version vom openvpn-Client am Server-Zertifikat nicht zu passen. Möglicherweise legt Fedora 23 hier strengere Maßstäbe an als openSUSE 13.1?
TNX

cu, gehrke
 
OP
gehrke

gehrke

Administrator
Teammitglied
Ich tippe auf so etwas hier: https://bugzilla.redhat.com/show_bug.cgi?id=1081708#c8

Aber an 'md5' liegt es wohl nicht:
Code: 
[root@j7 .openvpn]# openssl x509 -in server.crt -text -noout | grep Algorithm
    Signature Algorithm: sha256WithRSAEncryption
            Public Key Algorithm: rsaEncryption
    Signature Algorithm: sha256WithRSAEncryption
Hier aber nur 'sha1':
Code: 
[root@j7 .openvpn]# openssl x509 -in ca.crt -text -noout | grep Algorithm
    Signature Algorithm: sha1WithRSAEncryption
            Public Key Algorithm: rsaEncryption
    Signature Algorithm: sha1WithRSAEncryption
 
OP
gehrke

gehrke

Administrator
Teammitglied
Wenn ich in den Einstellungen des NetworkManagers bei diesem VPN unter 'TLS-Einstellungen' die Überprüfung des Zertifikates der Gegenstelle abwähle, dann kann ich auch unter Fedora 23 die Verbindung aufbauen und stabil nutzen.

Aber so sollte das wohl kaum sein. Ich möchte die Ursache finden und beheben...
 
OP
gehrke

gehrke

Administrator
Teammitglied
Es lag scheinbar tatsächlich an den Zertifikaten. Ich habe nun die komplette PKI mit easy-rsa neu gemacht. Nun funktioniert der openvpn-Client auch mit Überprüfung des Server-Zertifikates. Irgendwas hat dort offensichtlich im Argen gelegen.

Ich finde es gut, dass Fedora 23 hier pingeliger ist als openSUSE 13.1. Aber dazwischen liegen ja auch 1 1/2 Jahre.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben