SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau

TorstenE · Beitrag von **TorstenE** » Fr 07.02.2025, 17:26

Hallo Mitstreiter,

wir haben nach folgender Anleitung:

Wiki-Eintrag:

UTM - VPN-SSL - SSL_VPN-Roadwarrior_v11.6

die VPN-Verbindung eingerichtet.
CA und Zertifikat wurden neu in der UTM erstellt.
(Server Zertifikat in der UTM, Client-Zertifikat für den Benutzer)

Beim Verbindungsaufbau wird jedoch ein Zertifikatsfehler
SSL: error:0A000086:SSL routines::certificate verify failed
angezeigt.

Gibt es eventuell noch etwas wichtiges zu beachten, was
in der Doku gerne übersehen wird ?

Danke und schönes Wochenende

Torsten

TorstenE · Beitrag von **TorstenE** » Fr 07.02.2025, 17:32

Was mir noch aufgefallen ist:

Bei einem Kunde ist die Konfiguration eigentlich gleich, aber in der ovpn-Datei steht bei uns
remote-cert-tls "server"

und beim Kunde:
remote-cert-eku "TLS Web Server Authentication"

Wie und wo das aber eingestellt wird, ist mir nicht klar

Beitrag von **Lauritzl** » Fr 07.02.2025, 17:34

Hallo Torsten,
auf jeden Fall könnte es hilfreich sein, die aktuelle Dokumentation zu nehmen: https://wiki.securepoint.de/UTM/VPN/SSL_VPN-Roadwarrior
(Die v11.6 ist ja doch schon ein wenig betagt…)

TorstenE · Beitrag von **TorstenE** » Fr 07.02.2025, 17:44

Hallo Lauritz,

danke für den Link, aber da hat sich nichts geändert.
Ich habe unsere Konfiguration auch mit der eines Kunden verglichen, die ist "offensichtlich" gleich.

Beitrag von **Bjoern** » Mo 10.02.2025, 08:24

Hallo,

handelt es sich hier um SHA1 oder SHA2 (SHA256) Zertifikate? Neuere Betriebssysteme unterstützen keine neuen SHA1 Zertifikate mehr.
Ggf. sollten Sie sich die Zertifikate mal ansehen. Läuft das Server Zertifikat auf der gleichen CA wie die Client Zertifikate?

TorstenE · Beitrag von **TorstenE** » Mo 10.02.2025, 08:45

Hallo Bjoern,

die CA und die Zertifikate sind direkt auf der Securepoint erstellt worden.
Es sind handelt sich um 'sha256 mit RSA Verschlüsselung' - Zertifikate.
Die Schlüssellänge von CA und Zertifikat sind gleich bei 3072

Grüße

Torsten

Beitrag von **Bjoern** » Mo 10.02.2025, 11:43

Das Server Zertifikat sowie die Client Zertifikate laufen auf die gleiche CA? Schauen Sie auch beim Benutzer nach ob da das korrekte Zertifikat hinterlegt ist.

TorstenE · Beitrag von **TorstenE** » Mo 10.02.2025, 12:56

Yepp - beide nutzen die selbe CA
und die Zertifikate wurden direkt mit der Konfiguration von der Securepoint herunter geladen (Konfiguration inkl. Zertifikate)

Beitrag von **jansc** » Mo 10.02.2025, 18:48

Hat das Client-Zertifikat evtl die Server-Flag?

Es kann auch helfen, den SSLVPN Dienst einmal richtig zu Stoppen und zu Starten (statt nur Neuzustarten)

TorstenE · Beitrag von **TorstenE** » Di 11.02.2025, 09:15

Hallo Jansc,

nein, der Client-Zertifikat hat nicht das Server-Flag nur der Server (Securepoint).
Der Neustart des SSL-VPN Dienstes hat leider auch nichts gebracht ;-(