OpenVPN Server Key von Debian Linux übernehmen

    Hallo

    Ich versuche, einen bestehenden Debian Linux OpenVPN Server durch Endian 2.5.1 zu ersetzen.
    Auf dem bestehenden Server läuft OpenVPN 2.1.3.

    Der Server-Key liegt nicht im Format PKCS#12 vor.
    Deshalb habe ich den Key mit openssl umgewandelt:

    Code
    openssl pkcs12 -export -inkey server.key -in server.crt -certfile ca.crt -out server.p12


    Die Endian-FW hat die PKCS#12 Datei akzeptiert.

    Trotzdem kann sich kein VPN-Client bei der Endian-FW via OpenVPN anmelden.
    Beim Anmelde-Versuch erscheint auf der Endian-Seite diese Fehlermeldung:

    Zitat

    TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned

    Kann mir jemand einen Tip geben, woran das liegt?

    Grüsse
    Thomas

    2.5.1 auf eee-PC

    Hallo Thomas,

    ich hatte das Problem ebenfalls schon einmal. Zwar nicht mit Debian <-> Endian, aber vielleicht hilft dir meine Antwort ja trotzdem weiter.

    Warum auch immer muss bei mir damals das Zertifikat in irgendeiner Weise leicht angepasst worden sein (ich frage mich bis heute wie das bei einem Zertifkat geht und es weiter seine Gültigkeit aber egal ...). Ich habe das "neue" Zertifikat exportiert und musste dann leider in den saueren Apfel beißen und 10 VPN-CLients mit diesem "neuen" Zertifikat auszustatten. Die OpenVPN-Config musste ich auch leicht anpassen, dass hatte aber keine Gründe die mit dem Zertifikat zusammenhingen, aber so ein Review kann ab und an ja nicht schaden. Vielleicht steht in der Konfig noch ein etwas anderer Aufbau drin, den Endian, im Gegensatz zu Debian, so nicht interpretieren kann. Try it :).

    Viele Grüße,
    scrymate

    EDIT:
    Fällt mir gerade noch ein, elementares Basic, aber die Uhrzeiten auf Client/Endian ist auch ordentlich syncron? Das kann auch zu Zertifikatsfehlern führen.

    Hallo scrymate

    Mittlerweile habe ich das Problem gefunden.
    In der OpenVPN Konfiguration von Debian fehlt ns-cert-type client.
    Die Zertifikate hatte ich mit "easy-rsa" erstellt. Die haben keinen "Netscape Certificate Type".
    Bin damals einem how-to gefolgt, das ich grad nicht mehr finde.

    Ich habe nun im Template der Endian-openvpn.conf die Zeile mit ns-cert-type client auskommentiert.
    Schon werden die Zertifikate akzeptiert.
    Hoffentlich entsteht dadurch keine Sicherheitslücke.

    Gruss
    Thomas

    2.5.1 auf eee-PC