Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Das schwierige Thema VPN!
G666
Posts: 41
Joined: March 24th, 2016, 10:41 am

Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by G666 » September 3rd, 2018, 3:09 pm

Hallo,
ich habe das Update 123 getestet und hatte unter OpenVPN zwei Meldungen die eine war etwas mit Diffie-Hellman Key und die andere war
Das Host Zertifikat ist nicht RFC3280 Regelkonform.
Bitte IPFire auf die letzte Version updaten und generieren sie ein neues Root und Host Zertifikat so bald wie möglich.

Es müssen dann alle OpenVPN clients erneuert werden!
Dieser Hinweis taucht auch immer wieder auf. Ich habe alle VPN Verbindungen und das x509 gelöscht. Danach war der Hinweis verschwunden aber sobald ich wieder ein Host-Zertifikat erstelle ist auch die Meldung wieder da.
Image

renatohtpc
Posts: 10
Joined: August 16th, 2018, 9:17 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by renatohtpc » September 8th, 2018, 2:16 am

I am seeing the exact same thing as I upgraded from 122 to 123.

Any suggestions on the fix?

Thanks
Renato

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 8th, 2018, 5:59 am

Hi,
DE: Könnt ihr mal bitte die Ausgabe von
EN: can you please post the results of

Code: Select all

grep -A2 'keyid,issuer:always' /var/ipfire/ovpn/openssl/ovpn.cnf
und/and

Code: Select all

openssl x509 -text -in /var/ipfire/ovpn/certs/servercert.pem | grep -B4 'Signature Algorithm'
UE
Image
Image
Image

G666
Posts: 41
Joined: March 24th, 2016, 10:41 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by G666 » September 8th, 2018, 8:02 am

grep -A2 'keyid,issuer:always' /var/ipfire/ovpn/openssl/ovpn.cnf

Code: Select all

authorityKeyIdentifier          = keyid,issuer:always

[ server ]
--
authorityKeyIdentifier          = keyid,issuer:always

[ v3_req ]
openssl x509 -text -in /var/ipfire/ovpn/certs/servercert.pem | grep -B4 'Signature Algorithm'

Code: Select all

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
--
                keyid:A4:1F:D8:8A:98:DE:98:27:8F:13:C9:E4:07:7F:B7:3D:7E:1F:22:DF
                DirName:/C=DE/O=IPFire/CN=IPFire CA
                serial:A1:3C:2A:95:D3:18:63:6D

    Signature Algorithm: sha256WithRSAEncryption
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 8th, 2018, 8:49 am

DE: Das Problem ist das da eine alte ovpn.cnf (OpenSSL config) vorhanden ist und somit die "extendedKeyUsage" im Zertifkat fehlt --> https://git.ipfire.org/?p=ipfire-2.x.gi ... ore123#l79 . Das kann z.b. passieren wenn alte BackUPs wieder eingespielt werden.
Lösung: Du kannst diesen --> https://git.ipfire.org/?p=ipfire-2.x.gi ... ds/core123 ovpn.cnf Inhalt per Copy und Paste nach /var/ipfire/ovpn/openssl/ovpn.cnf packen und die Zertifikate dann nochmal neugenerieren.

EN: If you have the same output, you have an old ovpn.cnf (OpenSSL config) and the needed "extendedKeyUsage"
instructions are not presant. This can happens e.g. if you use an old backup. To fix this, copy this content --> https://git.ipfire.org/?p=ipfire-2.x.gi ... ds/core123 to /var/ipfire/ovpn/openssl/ovpn.cnf and regenerate the certificates.

Die Ausgabe sollte so aussehen / The output should looks like this:

Code: Select all

[root@ipfire ~]# grep -A2 'keyid,issuer:always' /var/ipfire/ovpn/openssl/ovpn.cnf
authorityKeyIdentifier		= keyid,issuer:always
extendedKeyUsage                = clientAuth
keyUsage                        = digitalSignature
--
authorityKeyIdentifier		= keyid,issuer:always 
extendedKeyUsage                = serverAuth
keyUsage                        = digitalSignature, keyEncipherment

Code: Select all

[root@ipfire ~]# openssl x509 -text -in /var/ipfire/ovpn/certs/servercert.pem | grep -B4 'Signature Algorithm'
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
--
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment
    Signature Algorithm: sha256WithRSAEncryption
UE
Image
Image
Image

G666
Posts: 41
Joined: March 24th, 2016, 10:41 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by G666 » September 8th, 2018, 9:59 am

Danke, dass war das Problem.
Ich habe allerdings noch ein weiteres, ich schreibe es einfach mal hier mit drunter.
Wenn ich einen Diffie-Hellman Key größer 2048bit erstelle dauert es bei mir zu lange und ich bekomme auf der Weboberfläche ein Timeout. Wenn der Key erstellt wurde fehlt mir dann der TLS-Authentifizierungsschlüssel.
Image

renatohtpc
Posts: 10
Joined: August 16th, 2018, 9:17 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by renatohtpc » September 8th, 2018, 11:49 am

ummeegge

That was indeed the problem. Uploaded the new version of ovpn.cnf and the problem was solved.

For whatever it is worth..... I started with version 119 (if I remember correctly) and have upgraded since without ever doing a restore from backup.

One more question.

I am using IPSec with certificate to create a tunnel between 2 sites. Should I regenerate the IPSec certificates as well?

Thanks again for your help.

Renato

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 8th, 2018, 1:03 pm

Hallo zusammen/ Hi all,
G666 wrote:
September 8th, 2018, 9:59 am
Wenn ich einen Diffie-Hellman Key größer 2048bit erstelle dauert es bei mir zu lange und ich bekomme auf der Weboberfläche ein Timeout. Wenn der Key erstellt wurde fehlt mir dann der TLS-Authentifizierungsschlüssel.
im Regelfall arbeitet OpenSSL weiter an der Generierung auch wenn das WUI ein Timeout anzeigt, wenn du unter /var/log/httpd/error_log während dessen mal schaust finden sich da fortlaufend solche Zeichenfolgen

Code: Select all

...
........................+.........................+................................................................................................................................................+...............................................+....................+...+...................................+.................
...
in dem Fall einfach ein bisschen Zeit vergehen lassen und den Fire nicht Neustarten. Bei wenig Entropie kann das ein wenig dauern.

Wenn du längere DH- Parameter haben möchtest würde ich sie auf einer externen Maschine mit einem z.b.

Code: Select all

openssl dhparam -outform PEM -out dhparam.pem 4096
(3072 geht auch) generieren und dann mit über das WUI hochladen --> https://wiki.ipfire.org/configuration/s ... upload_gen .

Hi Renato,
renatohtpc wrote:
September 8th, 2018, 11:49 am
One more question.

I am using IPSec with certificate to create a tunnel between 2 sites. Should I regenerate the IPSec certificates as well?
IPSec uses it´s own OpenSSL configuration file so it makes no difference for IPSec if you change the ovpn.cnf for OpenVPN.

Greetings,

UE
Image
Image
Image

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 8th, 2018, 1:04 pm

Hab den Thread mal in den VPN Bereich verschoben.

UE
Image
Image
Image

Alternarivende
Posts: 161
Joined: April 4th, 2013, 4:30 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Alternarivende » September 13th, 2018, 6:37 am

Ich habe dieses Problem auch und habe definitiv auch kein Backup wieder eingespielt auf den Maschinen.

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 13th, 2018, 4:55 pm

Hi,
Alternarivende wrote:
September 13th, 2018, 6:37 am
Ich habe dieses Problem auch und habe definitiv auch kein Backup wieder eingespielt auf den Maschinen.
Deine Infos sind einwenig knapp geraten um dir jetzt weiterzuhelfen (oben steht ja auch eigentlich alles damit du dir in diesem Fall selber helfen kannst) oder sowas wie ein Bug zu erkennen und diesen dann zu fixen.

UE
Image
Image
Image

Alternarivende
Posts: 161
Joined: April 4th, 2013, 4:30 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Alternarivende » September 13th, 2018, 7:40 pm

Das werde ich Morgen mal ausprobieren. Danke.


Anschließend muss ich alle VPN Verbindungen neu erstellen?

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 14th, 2018, 5:54 am

Alternarivende wrote:
September 13th, 2018, 7:40 pm
Anschließend muss ich alle VPN Verbindungen neu erstellen?
Da du die komplette X509 Struktur löscht musst du die Clients neu erstellen ja.

UE
Image
Image
Image

Alternarivende
Posts: 161
Joined: April 4th, 2013, 4:30 pm

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by Alternarivende » September 14th, 2018, 6:20 am

Bei 40 Clients an den unterschiedlichsten Standorten ist das ein ganz schöner Aufwand. Habe ich irgendwelche Nachteile durch diese Meldung?

ummeegge
Community Developer
Community Developer
Posts: 4576
Joined: October 9th, 2010, 10:00 am

Re: Update 123 OpenVPN Host Zertifikat RFC3280 nicht Regelkonform

Post by ummeegge » September 14th, 2018, 7:15 am

An erster Stelle steht wohl das OpenVPN --ns-cert-type mit der Version 2.5 entfernt --> https://community.openvpn.net/openvpn/w ... -cert-type sofern IPFire auf die 2.5 mal updaten sollte (z.Zt. läuft 2.4.6) funktionieren die Verbindungen nicht mehr. Derzeit gehen noch beide Direktiven (für die Übergangszeit) was aber mit der 2.5 endet.

Diese Meldung ist ein Hinweis zu diesem Sachverhalt für euch.

UE
Image
Image
Image

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest