[Berlin-wireless] vpn zertifikat problem

Stefan Sperling stsp at stsp.name
Do Mär 30 18:23:18 CEST 2017


On Thu, Mar 02, 2017 at 08:16:37AM +0100, Stefan Sperling wrote:
> Hi,
> 
> Ich bekomme seit einiger Zeit folgendes Problem beim Aufbau der OpenVPN
> Verbindung zum FFVPN:
> 
> Thu Mar  2 08:09:51 2017 us=556547 VERIFY ERROR: depth=0, error=self signed certificate: C=DE, ST=Eastern Germany, L=Berli
> n, O=Foerderverein Freie Netzwerke e.V., OU=Freifunk, CN=77.87.48.10, emailAddress=sven-ola at gmx.de
> Thu Mar  2 08:09:51 2017 us=558943 OpenSSL: error:14007086:SSL routines:CONNECT_CR_CERT:certificate verify failed
> 
> Wurde das Zertifikat auf dem Server ersetzt?

Ich habe Zeit gefunden weiter an diesem Problem zu bohren.
Im Debugger sehe ich, dass libcrypto das Server Cert mit dem CA Cert
vergleicht, und dabei natürlich einen Unterschied feststellt.

Der Freifunk VPN Server schickt mir folgendes Server Zertifikat.
In diesem Server Cert sind Issuer und Subject genau das gleiche wie
im CA cert, obwohl das Server Cert ja nicht die CA ist.
(Das CA cert ist ebenfalls unten zitiert.)

Ist das wirklich so gedacht? Falls nicht, könnte jemand das reparieren?
Ich wäre sehr dankbar dafür :)

Es sieht sehr danach aus, als ob LibreSSL diese Konstallation seit
November nicht mehr akzeptiert (mein OpenVPN client läuft auf OpenBSD).
Siehe https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/libcrypto/x509/x509_vfy.c#rev1.52
https://cvsweb.openbsd.org/cgi-bin/cvsweb/src/lib/libcrypto/x509/x509_vfy.c.diff?r1=1.51&r2=1.52
(Der error code den OpenVPN von libcrypto bekommt ist
X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT.)

Danke,
Stefan

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=DE, ST=Eastern Germany, L=Berlin, O=Foerderverein Freie Netzwerke e.V., OU=Freifunk, CN=77.87.48.10/emailAddress=sven-ola at gmx.de
        Validity
            Not Before: Nov 28 21:01:20 2012 GMT
            Not After : Nov 26 21:01:20 2022 GMT
        Subject: C=DE, ST=Eastern Germany, L=Berlin, O=Foerderverein Freie Netzwerke e.V., OU=Freifunk, CN=77.87.48.10/emailAddress=sven-ola at gmx.de
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (1024 bit)
                Modulus:
                    00:b7:53:0c:e0:72:b6:ad:85:c6:f8:07:0b:6a:06:
                    3a:9d:0a:a6:48:70:5e:30:45:4d:30:1d:81:09:f8:
                    45:e8:0e:80:bc:6f:4d:99:90:3f:8c:d5:77:91:b7:
                    0c:9d:46:3f:29:a8:39:8f:63:8c:bc:7c:71:0c:ee:
                    62:36:6c:27:41:7a:ff:65:54:f4:55:f0:05:44:4d:
                    a9:2c:45:50:1b:75:66:63:f9:f2:22:6d:9c:d5:2e:
                    74:0d:19:90:3b:c9:72:57:89:58:0c:02:db:18:c5:
                    c5:08:44:14:ce:da:d7:cb:41:37:a2:eb:53:a7:7e:
                    45:d6:64:c8:46:60:ce:b5:91
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Cert Type: 
                SSL Server
            Netscape Comment: 
                Easy-RSA Generated Server Certificate
            X509v3 Subject Key Identifier: 
                6D:41:45:6D:DE:92:93:A5:E1:23:76:CA:A0:33:A0:F1:55:11:57:D3
            X509v3 Authority Key Identifier: 
                keyid:02:42:CC:B5:53:53:5B:0E:58:6F:DE:B2:AC:11:63:C6:F6:E0:A7:0D
                DirName:/C=DE/ST=Eastern Germany/L=Berlin/O=Foerderverein Freie Netzwerke e.V./OU=Freifunk/CN=77.87.48.10/emailAddress=sven-ola at gmx.de
                serial:C4:EF:35:1C:C0:2E:CE:F2

            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment
    Signature Algorithm: sha1WithRSAEncryption
         02:f1:fa:77:b4:d7:f2:cd:22:70:30:6c:de:ad:06:8e:ca:9c:
         dd:ab:9d:04:2f:37:6d:3f:09:29:cc:e5:2d:ff:75:a9:ba:dc:
         b1:7e:d4:ef:53:c2:bd:e9:f1:7e:28:c2:6b:78:96:18:3d:aa:
         22:1f:0f:6a:f8:b8:8b:7b:9a:fc:32:2b:35:0b:ef:27:ff:fc:
         2c:bd:36:bd:f9:3e:01:08:10:d6:53:91:50:4d:13:0a:ba:ec:
         25:3a:01:31:bb:87:32:8e:60:29:22:3c:12:db:c8:c9:db:66:
         e5:2a:2c:19:e4:b1:5a:2a:87:6e:98:d6:7d:bc:64:af:53:fd:
         f8:8a
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


> 
> Ich habe hier folgendes CA Zertifikat.
> Ist das Zertifikat des OpenVPN Servers mit diesem signiert? 
> 
> SHA1 Fingerprint=2A:EB:82:AD:B9:9A:E2:7C:F6:F4:54:CC:44:6A:88:7B:9A:18:A9:D1
> Certificate:
>     Data:
>         Version: 3 (0x2)
>         Serial Number: 14190619348467371762 (0xc4ef351cc02ecef2)
>     Signature Algorithm: sha1WithRSAEncryption
>         Issuer: C=DE, ST=Eastern Germany, L=Berlin, O=Foerderverein Freie Netzwerke e.V., OU=Freifunk, CN=77.87.48.10/emailAddress=sven-ola at gmx.de
>         Validity
>             Not Before: Nov 28 21:00:14 2012 GMT
>             Not After : Nov 26 21:00:14 2022 GMT
>         Subject: C=DE, ST=Eastern Germany, L=Berlin, O=Foerderverein Freie Netzwerke e.V., OU=Freifunk, CN=77.87.48.10/emailAddress=sven-ola at gmx.de
>         Subject Public Key Info:
>             Public Key Algorithm: rsaEncryption
>                 Public-Key: (1024 bit)
>                 Modulus:
>                     00:b5:b7:ff:5c:ee:c0:2e:ff:b4:78:d1:b0:04:c5:
>                     27:0d:4d:83:24:af:15:2f:e4:9d:8e:d5:54:e5:fb:
>                     23:2d:cd:0b:41:96:56:16:37:12:94:a3:bd:a2:80:
>                     a3:97:e3:bd:c3:76:d5:f6:91:45:19:a5:20:9f:7d:
>                     95:09:37:50:a1:c9:30:e4:70:76:b1:78:0f:c4:f7:
>                     3b:76:9f:eb:b5:a9:36:79:fb:f5:54:25:2e:4f:b1:
>                     49:b1:8a:4f:da:c6:1a:b8:62:33:4c:09:b2:c8:c2:
>                     55:c1:b1:bf:02:92:68:ba:41:a2:a9:83:e1:51:c0:
>                     98:9d:ae:99:44:50:82:31:c3
>                 Exponent: 65537 (0x10001)
>         X509v3 extensions:
>             X509v3 Subject Key Identifier: 
>                 02:42:CC:B5:53:53:5B:0E:58:6F:DE:B2:AC:11:63:C6:F6:E0:A7:0D
>             X509v3 Authority Key Identifier: 
>                 keyid:02:42:CC:B5:53:53:5B:0E:58:6F:DE:B2:AC:11:63:C6:F6:E0:A7:0D
>                 DirName:/C=DE/ST=Eastern Germany/L=Berlin/O=Foerderverein Freie Netzwerke e.V./OU=Freifunk/CN=77.87.48.10/emailAddress=sven-ola at gmx.de
>                 serial:C4:EF:35:1C:C0:2E:CE:F2
> 
>             X509v3 Basic Constraints: 
>                 CA:TRUE
>     Signature Algorithm: sha1WithRSAEncryption
>          b3:5b:89:d9:8e:66:05:28:b0:09:77:cf:bd:34:45:06:a0:94:
>          61:e9:66:48:fb:4b:8c:ef:9c:b8:83:0e:01:5a:5e:88:f5:96:
>          1c:b4:af:a5:79:d1:05:d9:a8:cd:d2:b7:ce:35:7e:a3:4b:01:
>          31:02:a7:de:a1:ff:61:92:ed:c5:75:9b:9d:66:11:89:72:08:
>          62:4c:fa:05:62:af:05:65:6b:f0:60:f7:b3:ba:d3:c4:c8:4e:
>          fc:00:f5:81:87:dd:0e:a4:9f:49:57:91:14:92:e9:1c:5e:31:
>          c0:5e:c6:b2:33:b0:56:bf:13:c3:b2:42:83:3b:6b:c0:0f:6a:
>          f4:22
> -----BEGIN CERTIFICATE-----
> MIID9TCCA16gAwIBAgIJAMTvNRzALs7yMA0GCSqGSIb3DQEBBQUAMIGuMQswCQYD
> VQQGEwJERTEYMBYGA1UECBMPRWFzdGVybiBHZXJtYW55MQ8wDQYDVQQHEwZCZXJs
> aW4xKzApBgNVBAoTIkZvZXJkZXJ2ZXJlaW4gRnJlaWUgTmV0endlcmtlIGUuVi4x
> ETAPBgNVBAsTCEZyZWlmdW5rMRQwEgYDVQQDEws3Ny44Ny40OC4xMDEeMBwGCSqG
> SIb3DQEJARYPc3Zlbi1vbGFAZ214LmRlMB4XDTEyMTEyODIxMDAxNFoXDTIyMTEy
> NjIxMDAxNFowga4xCzAJBgNVBAYTAkRFMRgwFgYDVQQIEw9FYXN0ZXJuIEdlcm1h
> bnkxDzANBgNVBAcTBkJlcmxpbjErMCkGA1UEChMiRm9lcmRlcnZlcmVpbiBGcmVp
> ZSBOZXR6d2Vya2UgZS5WLjERMA8GA1UECxMIRnJlaWZ1bmsxFDASBgNVBAMTCzc3
> Ljg3LjQ4LjEwMR4wHAYJKoZIhvcNAQkBFg9zdmVuLW9sYUBnbXguZGUwgZ8wDQYJ
> KoZIhvcNAQEBBQADgY0AMIGJAoGBALW3/1zuwC7/tHjRsATFJw1NgySvFS/knY7V
> VOX7Iy3NC0GWVhY3EpSjvaKAo5fjvcN21faRRRmlIJ99lQk3UKHJMORwdrF4D8T3
> O3af67WpNnn79VQlLk+xSbGKT9rGGrhiM0wJssjCVcGxvwKSaLpBoqmD4VHAmJ2u
> mURQgjHDAgMBAAGjggEXMIIBEzAdBgNVHQ4EFgQUAkLMtVNTWw5Yb96yrBFjxvbg
> pw0wgeMGA1UdIwSB2zCB2IAUAkLMtVNTWw5Yb96yrBFjxvbgpw2hgbSkgbEwga4x
> CzAJBgNVBAYTAkRFMRgwFgYDVQQIEw9FYXN0ZXJuIEdlcm1hbnkxDzANBgNVBAcT
> BkJlcmxpbjErMCkGA1UEChMiRm9lcmRlcnZlcmVpbiBGcmVpZSBOZXR6d2Vya2Ug
> ZS5WLjERMA8GA1UECxMIRnJlaWZ1bmsxFDASBgNVBAMTCzc3Ljg3LjQ4LjEwMR4w
> HAYJKoZIhvcNAQkBFg9zdmVuLW9sYUBnbXguZGWCCQDE7zUcwC7O8jAMBgNVHRME
> BTADAQH/MA0GCSqGSIb3DQEBBQUAA4GBALNbidmOZgUosAl3z700RQaglGHpZkj7
> S4zvnLiDDgFaXoj1lhy0r6V50QXZqM3St841fqNLATECp96h/2GS7cV1m51mEYly
> CGJM+gVirwVla/Bg97O608TITvwA9YGH3Q6kn0lXkRSS6RxeMcBexrIzsFa/E8Oy
> QoM7a8APavQi
> -----END CERTIFICATE-----
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv




Mehr Informationen über die Mailingliste Berlin