Seite 1 von 1
SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Fr 07.02.2025, 17:26
von TorstenE
Hallo Mitstreiter,
wir haben nach folgender Anleitung:
Wiki-Eintrag:
UTM - VPN-SSL - SSL_VPN-Roadwarrior_v11.6
die VPN-Verbindung eingerichtet.
CA und Zertifikat wurden neu in der UTM erstellt.
(Server Zertifikat in der UTM, Client-Zertifikat für den Benutzer)
Beim Verbindungsaufbau wird jedoch ein Zertifikatsfehler
SSL: error:0A000086:SSL routines::certificate verify failed
angezeigt.
Gibt es eventuell noch etwas wichtiges zu beachten, was
in der Doku gerne übersehen wird ?
Danke und schönes Wochenende
Torsten
Re: SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Fr 07.02.2025, 17:32
von TorstenE
Was mir noch aufgefallen ist:
Bei einem Kunde ist die Konfiguration eigentlich gleich, aber in der ovpn-Datei steht bei uns
remote-cert-tls "server"
und beim Kunde:
remote-cert-eku "TLS Web Server Authentication"
Wie und wo das aber eingestellt wird, ist mir nicht klar
Re: SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Fr 07.02.2025, 17:34
von Lauritzl
Hallo Torsten,
auf jeden Fall könnte es hilfreich sein, die aktuelle Dokumentation zu nehmen:
https://wiki.securepoint.de/UTM/VPN/SSL_VPN-Roadwarrior
(Die v11.6 ist ja doch schon ein wenig betagt…)
Re: SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Fr 07.02.2025, 17:44
von TorstenE
Hallo Lauritz,
danke für den Link, aber da hat sich nichts geändert.
Ich habe unsere Konfiguration auch mit der eines Kunden verglichen, die ist "offensichtlich" gleich.
Re: SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Mo 10.02.2025, 08:24
von Bjoern
Hallo,
handelt es sich hier um SHA1 oder SHA2 (SHA256) Zertifikate? Neuere Betriebssysteme unterstützen keine neuen SHA1 Zertifikate mehr.
Ggf. sollten Sie sich die Zertifikate mal ansehen. Läuft das Server Zertifikat auf der gleichen CA wie die Client Zertifikate?
Re: SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Mo 10.02.2025, 08:45
von TorstenE
Hallo Bjoern,
die CA und die Zertifikate sind direkt auf der Securepoint erstellt worden.
Es sind handelt sich um 'sha256 mit RSA Verschlüsselung' - Zertifikate.
Die Schlüssellänge von CA und Zertifikat sind gleich bei 3072
Grüße
Torsten
Re: SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Mo 10.02.2025, 11:43
von Bjoern
Das Server Zertifikat sowie die Client Zertifikate laufen auf die gleiche CA? Schauen Sie auch beim Benutzer nach ob da das korrekte Zertifikat hinterlegt ist.
Re: SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Mo 10.02.2025, 12:56
von TorstenE
Yepp - beide nutzen die selbe CA
und die Zertifikate wurden direkt mit der Konfiguration von der Securepoint herunter geladen (Konfiguration inkl. Zertifikate)
Re: SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Mo 10.02.2025, 18:48
von jansc
Hat das Client-Zertifikat evtl die Server-Flag?
Es kann auch helfen, den SSLVPN Dienst einmal richtig zu Stoppen und zu Starten (statt nur Neuzustarten)
Re: SSL-VPN Roadwarrior Zertifikatsfehler beim Verbindungsaufbau
Verfasst: Di 11.02.2025, 09:15
von TorstenE
Hallo Jansc,
nein, der Client-Zertifikat hat nicht das Server-Flag nur der Server (Securepoint).
Der Neustart des SSL-VPN Dienstes hat leider auch nichts gebracht ;-(