OpenSSL error....certificate verify failed

Discussion:

(слишком старое сообщение для ответа)

Alexander Suvorov

2018-05-23 10:11:00 UTC

Приветствую, All!

Не могу законнектить Raspberry Pi к домашнему OpenVPN серверу, при этом клиент
под Андроид к нему коннектиться и работает без вопросов и нареканий.
А пытаюсь подключиться Малиной и получаю..

Wed May 23 08:34:09 2018 OpenVPN 2.4.0 arm-unknown-linux-gnueabihf [SSL
(OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18
2017
Wed May 23 08:34:09 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO
2.08
Wed May 23 08:34:10 2018 TCP/UDP: Preserving recently used remote address:
[AF_INET]213.21.13.132:1194
Wed May 23 08:34:10 2018 UDP link local: (not bound)
Wed May 23 08:34:10 2018 UDP link remote: [AF_INET]213.21.13.132:1194
Wed May 23 08:34:13 2018 OpenSSL: error:14090086:SSL
routines:ssl3_get_server_certificate:certificate verify failed
Wed May 23 08:34:13 2018 TLS_ERROR: BIO read tls_read_plaintext error
Wed May 23 08:34:13 2018 TLS Error: TLS object -> incoming plaintext read error
Wed May 23 08:34:13 2018 TLS Error: TLS handshake failed
Wed May 23 08:34:13 2018 SIGUSR1[soft,tls-error] received, process restarting

..ну и далее по-кругу.
Кто-нибудь знает как сие побороть?

С наилучшими пожеланиями, Alexander.

Alexey Vissarionov

2018-05-23 10:54:30 UTC

Permalink

Доброго времени суток, Alexander!
23 May 2018 13:11:00, ты -> All:

AS> Не могу законнектить Raspberry Pi к домашнему OpenVPN серверу, при
AS> этом клиент под Андроид к нему коннектиться и работает без вопросов
AS> и нареканий. А пытаюсь подключиться Малиной и получаю..
AS> OpenSSL: error:14090086:SSL
AS> routines:ssl3_get_server_certificate:certificate verify failed
AS> Кто-нибудь знает как сие побороть?

А как ты генерируешь ключи и подписываешь сертификаты?

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Я мненью вашему вращенье придавал, и осью был мой размноженья орган

Alexander Suvorov

2018-05-23 12:09:48 UTC

Permalink

Приветствую, Alexey!

23 May 18 13:54, Alexey Vissarionov написал(а) Alexander Suvorov:
AS>> Не могу законнектить Raspberry Pi к домашнему OpenVPN серверу,
AS>> при этом клиент под Андроид к нему коннектиться и работает без
AS>> вопросов и нареканий. А пытаюсь подключиться Малиной и получаю..
AS>> OpenSSL: error:14090086:SSL
AS>> routines:ssl3_get_server_certificate:certificate verify failed
AS>> Кто-нибудь знает как сие побороть?
AV> А как ты генерируешь ключи и подписываешь сертификаты?
С помощью easy-rsa
У него там есть папка со скриптами в частности build-ca build-key и
build-key-server вот ими и генерил/подписывал.. ЕМНИП, давненько просто это
делал.

С наилучшими пожеланиями, Alexander.

Alexey Vissarionov

2018-05-23 21:25:52 UTC

Permalink

Доброго времени суток, Alexander!
23 May 2018 15:09:48, ты -> мне:

AS>>> Не могу законнектить Raspberry Pi к домашнему OpenVPN серверу,
AS>>> при этом клиент под Андроид к нему коннектиться и работает без
AS>>> вопросов и нареканий. А пытаюсь подключиться Малиной и получаю..
AS>>> OpenSSL: error:14090086:SSL
AS>>> routines:ssl3_get_server_certificate:certificate verify failed
AS>>> Кто-нибудь знает как сие побороть?
AV>> А как ты генерируешь ключи и подписываешь сертификаты?
AS> С помощью easy-rsa

Ой... оно ж кривое, как турецкий ятаган.

AS> У него там есть папка со скриптами в частности build-ca build-key
AS> и build-key-server вот ими и генерил/подписывал.. ЕМНИП, давненько
AS> просто это делал.

Лучше обойтись без костылей. Например, CA генерируется одной командой:

openssl req -outform pem -newkey rsa:8192 -sha512 -days 3700 -x509 -nodes -subj
"/C=RU/L=Moscow/O=Horns&Hoofs/OU=CA/CN=cert.example.net" -keyout ca.key -out
ca.crt

Примерно так же генерируются ключи и CSR для сервера и клиентов:

openssl req -outform pem -new -newkey rsa:8192 -sha512 -days 370 -nodes -subj
"/CN=vpn.example.net" -keyout vpn.example.net.key -out vpn.example.net.csr

Что там еще нужно, параметры DH? Вообще элементарщина, хотя и _очень_ долго -
может занять несколько часов... благо, оно нужно только на сервере:

openssl dhparam -5 -out dhparam.pem 4096

А про подписывание подробно написано в `man ca`.

--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Разверни часы с кукушкой циферблатом к стене - и получи часы с дятлом!

Sergey Anohin

2018-05-23 11:12:10 UTC

Permalink

Hello *Alexander* *Suvorov*
AS> Hе могу законнектить Raspberry Pi к домашнему OpenVPN сеpвеpу, пpи этом
AS> клиент под Андpоид к нему коннектиться и pаботает без вопpосов и
AS> наpеканий. А пытаюсь подключиться Малиной и получаю..
AS> Wed May 23 08:34:09 2018 OpenVPN 2.4.0 arm-unknown-linux-gnueabihf [SSL
AS> (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul
AS> 18 2017 Wed May 23 08:34:09 2018 library versions: OpenSSL 1.0.2l 25
AS> May 2017, LZO 2.08 Wed May 23 08:34:10 2018 TCP/UDP: Preserving recently
AS> used remote address: [AF_INET]213.21.13.132:1194
AS> Wed May 23 08:34:10 2018 UDP link local: (not bound)
AS> Wed May 23 08:34:10 2018 UDP link remote: [AF_INET]213.21.13.132:1194
AS> Wed May 23 08:34:13 2018 OpenSSL: error:14090086:SSL
AS> routines:ssl3_get_server_certificate:certificate verify failed
AS> Wed May 23 08:34:13 2018 TLS_ERROR: BIO read tls_read_plaintext error
AS> Wed May 23 08:34:13 2018 TLS Error: TLS object -> incoming plaintext
AS> read error Wed May 23 08:34:13 2018 TLS Error: TLS handshake failed
AS> Wed May 23 08:34:13 2018 SIGUSR1[soft,tls-error] received, process
AS> restarting
AS> ..ну и далее по-кpугу.
AS> Кто-нибудь знает как сие побоpоть?

Покажи конфиг сеpвеpа и клиента, а так у тебя же в логах все написано,
у тебя с TLS auth возможно настpоено? У меня как-то так:

client
dev tun
proto udp
remote <ip> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
cipher AES-256-GCM
auth SHA256
keysize 256
tun-mtu 1436
ca ../keys/ca.crt
cert ../keys/admin.crt
key ../keys/admin.key
tls-auth ../keys/ta.key 1

Бывает тpаходpом с алгоpитмами, если веpсии openvpn дpевние

Bye, Alexander Suvorov, 23 мая 18

Alexander Suvorov

2018-05-23 14:28:36 UTC

Permalink

Приветствую, Sergey!

23 May 18 14:12, Sergey Anohin написал(а) Alexander Suvorov:
AS>> Hе могу законнектить Raspberry Pi к домашнему OpenVPN сеpвеpу, пpи
AS>> этом клиент под Андpоид к нему коннектиться и pаботает без
AS>> вопpосов и наpеканий. А пытаюсь подключиться Малиной и получаю..
SA> Покажи конфиг сеpвеpа

=== Cut ===
dev tun
proto udp
port 1194
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
# server and remote endpoints
ifconfig 10.8.0.1 10.8.0.2
# Add route to Client routing table for the OpenVPN Server
push "route 10.8.0.1 255.255.255.255"
# Add route to Client routing table for the OPenVPN Subnet
push "route 10.8.0.0 255.255.255.0"
# your local subnet
push "route 0.0.0.0 "
# Set your primary domain name server address for clients
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
duplicate-cn
keepalive 10 120
remote-cert-tls client
tls-version-min 1.2
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
log /var/log/openvpn.log
verb 1
# Generated for use by PiVPN.io
=== Cut ===

SA> и клиента,

=== Cut ===
client
dev tun
proto udp
remote evilblade.at-home.me 1194
resolv-retry infinite
nobind
persist-key
persist-tun
key-direction 1
remote-cert-tls server
tls-version-min 1.2
verify-x509-name server_B7VSFLNx0bOOADvh name
cipher AES-256-CBC
auth SHA256
comp-lzo
verb 1
<ca>
-----BEGIN CERTIFICATE-----
MIIFDzCCA
[.....]
59BV
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
MIIF
[.....]
pRu84=
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
MIIEvw
[.....]
KeCVpkw==
-----END PRIVATE KEY-----
</key>
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
8571ca
[.....]
f6668f
-----END OpenVPN Static key V1-----
</tls-auth>
=== Cut ===
SA> а так у тебя же в логах все написано,

=== Cut ===
Wed May 23 16:10:08 2018 WARNING: file '/etc/openvpn/easy-rsa/pki/ta.key' is
group or others accessible
Wed May 23 16:10:08 2018 OpenVPN 2.4.0 arm-unknown-linux-gnueabihf [SSL
(OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jul 18
2017
Wed May 23 16:10:08 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO
2.08
Wed May 23 16:10:08 2018 TUN/TAP device tun0 opened
Wed May 23 16:10:08 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Wed May 23 16:10:08 2018 /sbin/ip link set dev tun0 up mtu 1500
Wed May 23 16:10:08 2018 /sbin/ip addr add dev tun0 10.8.0.1/24 broadcast
10.8.0.255
Wed May 23 16:10:08 2018 Could not determine IPv4/IPv6 protocol. Using AF_INET
Wed May 23 16:10:08 2018 UDPv4 link local (bound): [AF_INET][undef]:1194
Wed May 23 16:10:08 2018 UDPv4 link remote: [AF_UNSPEC]
Wed May 23 16:10:08 2018 GID set to nogroup
Wed May 23 16:10:08 2018 UID set to nobody
Wed May 23 16:10:08 2018 Initialization Sequence Completed
Wed May 23 16:13:31 2018 188.162.64.135:35170 TLS Error: TLS key negotiation
failed to occur within 60 seconds (check your network connectivity)
Wed May 23 16:13:31 2018 188.162.64.135:35170 TLS Error: TLS handshake failed
Wed May 23 16:13:34 2018 188.162.64.135:2792 TLS Error: TLS key negotiation
failed to occur within 60 seconds (check your network connectivity)
Wed May 23 16:13:34 2018 188.162.64.135:2792 TLS Error: TLS handshake failed
Wed May 23 16:15:24 2018 94.25.229.173:38185 TLS Error: TLS key negotiation
failed to occur within 60 seconds (check your network connectivity)
Wed May 23 16:15:24 2018 94.25.229.173:38185 TLS Error: TLS handshake failed
=== Cut ===

SA> у тебя с TLS auth возможно настpоено?
Эмм.. ну судя по всему - да.. В этом проблема? Тогда как сделать _без_ него?

SA> У меня как-то так:
SA> tls-auth ../keys/ta.key 1
Тоже ведь TLS auth, не?..

SA> Бывает тpаходpом с алгоpитмами, если веpсии openvpn дpевние
Да нет вроде, регулярно везде всё обновляю.

С наилучшими пожеланиями, Alexander.

Sergey Anohin

2018-05-23 17:17:25 UTC

Permalink

Hello, Alexander Suvorov.
On 23.05.18 17:28 you wrote:

SA>> У меня как-то так: tls-auth ../keys/ta.key 1
AS> Тоже ведь TLS auth, не?..

Да, попробуй так как тут для андроида:
https://wiki.yola.ru/openvpn:openvpn

Ну там указывается:
tls-auth ta.key 1

Потом пониже инклуд ключа:
key-direction 1
^^^^^^^^^^ это может и не надо в этом случае, ну попробуй
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
-----END OpenVPN Static key V1-----
</tls-auth>

--
Best regards!
Posted using Hotdoged on Android

Alexander Suvorov

2018-05-25 12:38:10 UTC

Permalink

Приветствую, Sergey!

23 May 18 20:17, Sergey Anohin написал(а) Alexander Suvorov:
SA>>> У меня как-то так: tls-auth ../keys/ta.key 1
AS>> Тоже ведь TLS auth, не?..
SA> Да, попробуй так как тут для андроида:
SA> https://wiki.yola.ru/openvpn:openvpn
SA> Ну там указывается:
[выкушено]

Вобщем, спасибо, что натолкнул на верный путь с этим TLS auth'ом. Убрал вообще
всё, что с ним было связано и на серваке и у клиента - заработало! :)

С наилучшими пожеланиями, Alexander.

Sergey Anohin

2018-05-25 13:39:09 UTC

Permalink

Hello, Alexander!

SA>> Да, попробуй так как тут для андроида:
SA>> https://wiki.yola.ru/openvpn:openvpn
SA>> Ну там указывается:
AS> [выкушено]
AS> Вобщем, спасибо, что натолкнул на верный путь с этим TLS auth'ом. Убрал
AS> вообще всё, что с ним было связано и на серваке и у клиента - заработало!
AS> :)

Главное чтоб не ослабла секурность :)

С наилучшими пожеланиями, Sergey Anohin.