ugrás a tartalomhoz

SSL certificate - hiányzik a root CA (megoldva :( )

H.Z. · 2013. Ápr. 6. (Szo), 12.09
Update: bocs, egyelőre úgy fest, tárgytalan...
Tanulságul az utókor számára itt hagyom, de ha valaki admin erre jár, nyugodtan törölheti is!

Routeremen firmware-t cseréltem. Tomato, mivel openwrt nincs rá. Korábban, openwrt alatt pillanatok alatt összedobtam ugyanezt a konfigurációt, most meg x ideje megy az anyázás. Előbb a friss verzióról derült ki, hogy a routeremen kb. 20 perc egy boot. Most meg harmadik napja nyűglődtem a tanúsítványokkal, mert akárhogy debuggoltam, nem kaptam értelmes hibaüzenetet.
(olyan apróságokat, hogy a szükséges make-et nem tették be a függőségek közé a készítők, az openssl meg hátrébb áll a path-ban, mint a firmware saját, lebutított verziója... már meg sem említek)
Végül kínomban már azt próbáltam, hogy egy Ubuntura felhúzott freeradius-t akartam használni. Előbb csak tanúsítvány készítéshez, de azokkal a tanúsítványokkal a routeren lévő, korábbi verziójú SSL nem boldogult, utána magát az ubuntu freeradius-át próbáltam bekonfigurálni, az sem ment.
A lokálisan, saját csomagjaival gyártott tanúsítványokkal meg bármit csináltam, akárhogy konfigurálgattam a freeradiust és az openssl-t, nem akart működni.
Húsz perce jött az ötlet: stabil debian. Az régebbi, mint az ubuntum! Freeradius fel, bootstrap script futtatás, make client, az egész könyvtár át a routerre a megfelelő könyvtárba és... Máris működik.

Már csak egy elérhető árú, jó minőségű, 5GHz-et is tudó router kellene, ami támogatja az openwrt-t is. Mert ebből a tomatos töketlenkedésből k.ra elegem van, na! :)





-----------------------------------------------------------

Segítséget szeretnék kérni, mert vagy nagyon csúnyán elnézek valamit vagy bugos szoftvereket használok (ez utóbbit kizárnám első körben)
Szerettem volna, ha a wifi-re nem jelszóval kapcsolódnának a klienseim, hanem tanúsítvánnyal (EAP-TLS)
Sokáig azt hittem, a RADIUS szerverrel, annak konfigurációjával van gond, de úgy tűnik, a tanúsítványaimmal van a baj.
A RADIUS-hoz kapott scriptekkel elkészítem a root CA-t (ca.pem), egy vele aláírt tanúsítványt (server.pem) és egy kliensoldalit, amit elméletileg a server.pem ír alá.
Odáig rendben, hogy
openssl verify -CAfile ca.pem server.pem
Ez annyit válaszol, hogy OK.

De az
openssl verify -CAfile ca.pem client.pem
már nem jó.
Sem a ca.pem, sem a server.pem nem felel meg neki:

error 20 at 0 depth lookup:unable to get local issuer certificate

A windows is valami hasonlót mond, ha a .p12-re konvertált verziót megnézem és a RADIUS is ismeretlen root CA-t emleget.

Amit tudtam, elolvastam, nem jutottam előrébb. Valamin biztosan átsiklok, de olyan automatikusan, hogy harmadik napja nem találom, mi baja.
A felhasznált állományok úgy készülnek, hogy a FreeRADIUS hoz magával egy bootstrap nevű scriptet, ezt lefuttatom, majd ugyanabban a könyvtárban egy "make client".
Ha csak a routeremen lenne vele gond, akkor elkönyvelném, hogy bugos, de egy Ubuntu 12.04-re telepített FreeRADIUS-szal is így jártam. Más verziók, más architektúra stb. Szinte biztos, hogy én hibázok, de hol?
Lehet, hogy jogos, ha a client.pem (hiába van "aláírva") nem tartalmaz utalást az őt hitelesítő tanúsítványra?
 
1

Odáig rendben, hogyopenssl

Poetro · 2013. Ápr. 6. (Szo), 12.39
Odáig rendben, hogy
openssl verify -CAfile ca.pem server.pem
Ez annyit válaszol, hogy OK.

De az
openssl verify -CAfile ca.pem client.pem
már nem jó.

Namost ez a két sor megegyezik. Egyszer jó, egyszer nem?

módosítva:
Benéztem, egyszer server, egyszer client.
2

Nem baj, lásd update!

H.Z. · 2013. Ápr. 6. (Szo), 13.04
Nem baj, lásd update! :)
Franc a sok bugos sz... szemétbe! :(
(több, mint egy éves a csomag, azóta nem tűnt fel senkinek? - kérdés persze költői)