Standardmäßig wird der SSLVPN-Dienst auf der UTM mit einem 512-Bit-DH-Key initialisiert. Wird mit einer neuen OpenSSL-Version versucht, eine VPN-Verbindung zu diesem Gerät herzustellen, kommt diese Verbindung mit folgender Fehlermeldung nicht zustande:
Code: Alles auswählen
TLS_ERROR: BIO read tls_read_plaintext error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
Hinweis: Bitte fertigen Sie ein Backup Ihrer Konfiguration an, bevor Sie diese Änderungen durchführen!
Die Anpassungen sind reboot-persistent, müssen bei der UTM v10 aber nach einer Neuinstallation bzw dem Zurückspielen der Konfiguration erneut durchgeführt werden.
Das Erstellen des DH-Keys kann mehrere Minuten in Anspruch nehmen. Währenddessen gibt die Konsole eine folge von ".*+" aus. Am Ende der Generierung erscheint unter Umständen die Meldung "unable to write random state". Diese kann ignoriert werden.
Securepoint UTM v10
Code: Alles auswählen
# openssl dhparam -out /var/openvpn/`spcli show extc_value openvpn CERT_CN | head -n 1`.dh 1024
# spcli restart application SERVICE_OPENVPN
Code: Alles auswählen
# sqlite3 /tmp/running.db "update openvpn set openvpn_dh_size = 1024, openvpn_dh_data = '`openssl dhparam 1024`' where openvpn_dh_size < 1024"
# spcli system config save
# spcli appmgmt config
# spcli appmgmt stop application openvpn
# spcli appmgmt start application openvpn
Des weiteren muss der openvpn-Dienst gestoppt und dann wieder gestartet werden. Ein "restart" ist nicht ausreichend.