Hallo,
ich betreibe eine offline Root CA mit einem Zwischenzertifikat, mit welchem ich auf verschiedenen Systemen ausstelle. Das Prinzip würde ich auch gerne in der UTM11 mit SSL-VPN umsetzen. Dazu importiere ich den public Key der Root CA und Public + Private des Zwischenzertifikats. Damit lassen sich dann entsprechende Zertifikate für SSL-VPN ausstellen. Wenn ich dann aber versuche eine VPN-Verbindung aufzubauen, scheitert dies immer mit der Meldung error=self signed certificate in certificate chain; TLS Error: TLS key negotiation failed/TLS Error: TLS handshake failed
Nach einiger Prüfung der Client- und Serverlogs scheint mir die Ursache darin zu liegen, dass die UTM nicht die komplette Zertifikatskette verifizieren kann. Mag auch sein, dass ich das falsch interpretiere. Hat evtl. schon mal jemand ähnliches probiert?
Gruß
MH
Offline Root CA
Moderator: Securepoint
Hallo,
am besten rufen Sie da einmal durch oder schreiben eine Mail an support@securepoint.de.
Dann schaut einer Remote drauf.
Gruß
Kenneth
am besten rufen Sie da einmal durch oder schreiben eine Mail an support@securepoint.de.
Dann schaut einer Remote drauf.
Gruß
Kenneth
Wir möchten eigentlich ebenfalls eine Offline Root CA nutzen und haben für die Securepoint Firewall ein von unserer primären Zwischenzertifizierungsstelle ein CA-Zertifikat ausgestellt. Auf der Firewall haben wir die öffentlichen Zertifikate der Root-CA, der Zwischen-CA und das CA-Zertifikat der FW eingespielt. Wenn wir die Zertifikatskette manuell zum OpenVPN Client übertragen funktioniert der Zugang. Nur leider wird die Zertifikatskette nicht im Uferinterface mit ausgeliefert, sondern lediglich das CA Zertifikat der Securepoint FW. Der OpenVPN Client kann sich dann nicht verbinden, dass er das CA-Zertifikat der Securepoint FW nicht überprüfen kann.