Wenn man für OpenVPN ein Zertifikat nutzt welches von einer Intermediate Zerftifikat Authorisierungsstelle signiert wurde, dann kann es das ein oder andere Problem mit den Zertifikaten geben.
Die CA-Datei für OpenVPN muss auf Client- wie auch auf Server-Seite das intermediate CA-Zertifikat und zusätzlich auch das CA-Stammzertifikat enthalten!
Fehlermeldungen:
- Logmeldungen am Client wenn das Stammzertifikat fehlt:
VERIFY ERROR: depth=2, error=self signed certificate in certificate chain: /C=DE/O=Organisation_Name/OU=Certificate_Authority/CN=Organisation_root-CA/emailAddress=user@mydomain.de
TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting
TCP/UDP: Closing socket
- Fehlt das root-CA serverseitig so wird die Verbindung ohne Fehlermeldung neu gestartet! Log:
TLS: Initial packet from #client_ip#
Connection reset, restarting [0]
Tipp: OpenVPN nutzt Zertifikate im .pem Format (CA-Zertifikat in .crt Form führt zu Fehlermeldung mit SSL_CTX_load_verify_locations()..)
Genutz wurde OpenVPN 2.1-rc7 auf Ubuntu und Client auf Windows Vista