OpenVPN mit intermediate CA Zertifikat

Wenn man für OpenVPN ein Zertifikat nutzt welches von einer Intermediate Zerftifikat Authorisierungsstelle signiert wurde, dann kann es das ein oder andere Problem mit den Zertifikaten geben.

Die CA-Datei für OpenVPN muss auf Client- wie auch auf Server-Seite das intermediate CA-Zertifikat und zusätzlich auch das CA-Stammzertifikat enthalten!

Fehlermeldungen:

  • Logmeldungen am Client wenn das Stammzertifikat fehlt:
    VERIFY ERROR: depth=2, error=self signed certificate in certificate chain: /C=DE/O=Organisation_Name/OU=Certificate_Authority/CN=Organisation_root-CA/emailAddress=user@mydomain.de
    TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    TLS Error: TLS object -> incoming plaintext read error
    TLS Error: TLS handshake failed
    Fatal TLS error (check_tls_errors_co), restarting
    TCP/UDP: Closing socket
  • Fehlt das root-CA serverseitig so wird die Verbindung ohne Fehlermeldung neu gestartet! Log: 
    TLS: Initial packet from #client_ip#
    Connection reset, restarting [0]

Tipp: OpenVPN nutzt Zertifikate im .pem Format (CA-Zertifikat in .crt Form führt zu Fehlermeldung mit SSL_CTX_load_verify_locations()..)

Genutz wurde OpenVPN 2.1-rc7 auf Ubuntu und Client auf Windows Vista

Tags: , , ,

Leave a Reply