ওপেনভিপিএন: শৃঙ্খলে স্ব স্বাক্ষরিত শংসাপত্র

9

আমি TunnelBlickশংসাপত্রগুলি ব্যবহার করে সংযোগ স্থাপনের জন্য (একটি ওএস / এক্স ওপেনভিপিএন ২.২.১ ক্লায়েন্ট যা পরিচিত - ভাল) ব্যবহার করার চেষ্টা করছি। এখানে আমি (স্যানিটাইজড) ত্রুটি বার্তাটি পেয়েছি:

2012-01-11 11:18:26 টিএলএস: **। **। **। **: 1194, সিড = 17a4a801 5012e004 থেকে প্রাথমিক প্যাকেট
2012-01-11 11:18:26 সত্যতা ত্রুটি: গভীরতা = 1, ত্রুটি = শংসাপত্র শৃঙ্খলে স্ব স্বাক্ষরিত শংসাপত্র: / সি = মার্কিন / এসটি = ** / এল = ** / ও = ** / সিএন = ** / EMAILADDRESS = **
2012-01-11 11:18:26 TLS_ERROR: BIO tls_read_plaintext ত্রুটি: ত্রুটি: 14090086: SSL রুটিনগুলি: SSL3_GET_SERVER_CERTIFICATE: শংসাপত্র যাচাইকরণ ব্যর্থ হয়েছে
2012-01-11 11:18:26 টিএলএস ত্রুটি: টিএলএস অবজেক্ট -> আগত প্লেটেক্সট পঠন ত্রুটি
2012-01-11 11:18:26 টিএলএস ত্রুটি: টিএলএস হ্যান্ডশেক ব্যর্থ হয়েছে
2012-01-11 11:18:26 টিসিপি / ইউডিপি: সকেট বন্ধ হচ্ছে

এখন, ঘষা আছে। আমি এই শংসাপত্রটির অনুরোধ করার জন্য নিজেই একটি সিএসআর তৈরি করেছি , অন্য পক্ষের আমাকে সরবরাহিত ca.crt ফাইলটি ব্যবহার করে (বাস্তবে, তারা এটি নিশ্চিত করার জন্য কেবল দুটিবার করেছিলেন)।

ক্লায়েন্ট কনফিগারেশনে সম্পর্কিত এন্ট্রিগুলি হ'ল: 

ca   ca.crt
cert my.crt
key  my.key

এবং, আরও ... আমি কীগুলি এইভাবে যাচাই করতে পারি:

ওপেনএসএল যাচাই করুন -এফাইএফএএফএএফ সিএফেরি 

সিআরএইচ সিআরটিআর.সিআরটি: ঠিক আছে

ঠিক আছে, তাই এখন আমি পুরোপুরি রহস্যজনক এবং স্টাম্পড। এই মুহুর্তে, আমি জানি যে সিএসআর এবং কীগুলি যথাযথ সিএসআর ব্যবহার করে তৈরি করা হয়েছিল। প্রকৃতপক্ষে, এটি হ'ল অত্যন্ত আদেশটি এটি করেছে:

openssl req -newkey rsa:2048 -new -out my.csr -keyout my.key

আমি এটি করতে জানতাম:

openssl x509 -subject -issuer -noout -in ca.crt

...

(চোখ পিট পিট!)

আমি কি এটি সন্ধান করেছি?

এই কমান্ডের আউটপুটটি দেখতে এরকম দেখাচ্ছে: (কিছুটা সম্পাদিত)

বিষয় = / সি = মার্কিন / এসটি = ভিএ / এল = ** / ও = ** / সিএন = ** সিএ / ইমেল ঠিকানা ঠিকানা = **
ইস্যুকারী = (একই)

ওপেনভিপিএন থেকে ত্রুটি বার্তায়, এসটি = হুবহু এক নয় :

ত্রুটি যাচাই করুন: গভীরতা = 1, ত্রুটি = শংসাপত্রের শৃঙ্খলা স্ব স্বাক্ষরিত শংসাপত্র: / সি = মার্কিন / এসটি = ভার্জিনিয়া / এল = ** ইনপুট / আউটপুট = ** / সিএন = ** / EMAILADDRESS = **

"ভিএ" ঠিক "ভার্জিনিয়ার" সমান নয়।

openvpn  openssl 
user106701
সূত্র
2
একটি চেষ্টা করে দেখুন openssl s_client -connect host:port -showcertsএবং প্রাপ্ত সার্টের থাম্বপ্রিন্টের সাথে তুলনা করুন openssl x509 -noout -text -in ca.crt
শেন ম্যাডেন 11'12

উত্তর:

7

এই থ্রেডটিতে কেবল পুরো বন্ধের আনার জন্য: সমস্যাটি আসলেই ছিল। আমি যে "সিআরসিআরটি" পেয়েছি ("ভার্জিনিয়া") আসলে আমার সহকর্মী ("ভিএ") ব্যবহার করছিল না, এবং আমরা কেউই সে সময় লক্ষ্য করিনি।

সুতরাং ... মূলত (এবং নিখুঁতভাবে সাধারণ লোকের শর্তে) ভিপিএন কর্তৃক যে সিএ সিআরটি প্রত্যাশা করা হয়েছিল তা সন্ধানের জন্য কর্তৃপক্ষের চেইন আপ করার চেষ্টা করছিল, কিন্তু এটি কখনও হয়নি (কারণ এটি সেখানে ছিল না)।

এবং, এই সেই দুর্দান্ত বার্তাগুলির মধ্যে একটি যা ক্রিপ্টো সিস্টেমগুলি এতটাই সুপরিচিত: সম্পূর্ণ নির্ভুল, এবং তবুও, অবিচ্ছিন্নতার কাছে সম্পূর্ণ রহস্যময়। (এবং, নিখুঁতভাবে বলতে গেলে, ক্রিপ্টো সিস্টেমগুলি কোনও কিছুর বিষয়ে তথ্য জানাতে পছন্দ করে না, কারণ তারা ধারণা করে যে যার সাথে তারা কথা বলছে অবশ্যই মন্দ অভ , সুন্দর এলিস বা বব নয়।)

মাইক রবিনসন
সূত্র
সত্য কথা বলতে গেলে, আমি নিশ্চিত নই যে এটির সিএ চেইনের সাথে আরও কিছু করার ছিল এবং এটি সত্য যে এটি প্রথম স্থানে একটি আলাদা সিএ ছিল এবং এটি স্বয়ংক্রিয়ভাবে অবিশ্বস্ত ছিল with ওপেনএসএসএলকে খুব বেশি হাঁটতে হবে না। যদিও আপনি এটি বোঝাতে চেয়েছিলেন হতে পারে।
gparent
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.