OpenSSL mit importierter CA/Zertifikaten
Verfasst: Mo 13.12.2010, 22:16
Hallo zusammen,
ich evaluliere zur Zeit eine SP 10.
Diese soll per per SSL-VPN an eine Firewll eines anderen Herstellers angebunden werden (gateprotect). Diese nutzt ebenfalls eine OpenSSL Implementierung.
Das How-To über eine Site2Site zwischen (SP-)Firewalls habe ich mir schon zu Gemüte geführt.
Ich hake allerdings schon recht weit am Anfang:
Der SSL-VPN Server auf der SP lässt sich nicht starten. Ich habe eine CA importiert und auch das zugehörige Clientzertifikat für die SP.
Beim starten des SSL-VPN Server erscheint fogendde Meldung:
Zertifikatsfehler, ok, steht ja drin. Die CA wurde meines Erachtens korrekt auf der SP importiert (als .pem ohne Private Key, wird auch in der Übersicht unter Zertifikate angezeigt).
Aber irgendetwas passt mit den Clientzertifikaten nicht. Ich kann auf der Firewall, die die CA hostet, das Client-Cert als PKCS12 exportieren oder als PEM ohne Private Key.
Aber egal wie ich das anstelle, der Fehler mit dem PK bleibt. Mit OpenSSL erstellter PEM+PrivateKey aus PKCS12 tuts auch nicht
Also habe ich 2 Fragen:
Was kann ich auf der SP als Zertifikatsformate importieren?
Ist es möglich, mit SFTP testweise irgendwie eine *.crt + *.key auf die Firewall zu bekommen und einzubinden?
MfG
ich evaluliere zur Zeit eine SP 10.
Diese soll per per SSL-VPN an eine Firewll eines anderen Herstellers angebunden werden (gateprotect). Diese nutzt ebenfalls eine OpenSSL Implementierung.
Das How-To über eine Site2Site zwischen (SP-)Firewalls habe ich mir schon zu Gemüte geführt.
Ich hake allerdings schon recht weit am Anfang:
Der SSL-VPN Server auf der SP lässt sich nicht starten. Ich habe eine CA importiert und auch das zugehörige Clientzertifikat für die SP.
Beim starten des SSL-VPN Server erscheint fogendde Meldung:
Code: Alles auswählen
Dec, 14 04:57:50 OpenVPN NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Dec, 14 04:57:50 OpenVPN Cannot load private key file /tmp/Cert_Test.cert: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Dec, 14 04:57:50 OpenVPN Error: private key password verification failed
Dec, 14 04:57:50 OpenVPN Exiting
Aber irgendetwas passt mit den Clientzertifikaten nicht. Ich kann auf der Firewall, die die CA hostet, das Client-Cert als PKCS12 exportieren oder als PEM ohne Private Key.
Aber egal wie ich das anstelle, der Fehler mit dem PK bleibt. Mit OpenSSL erstellter PEM+PrivateKey aus PKCS12 tuts auch nicht
Also habe ich 2 Fragen:
Was kann ich auf der SP als Zertifikatsformate importieren?
Ist es möglich, mit SFTP testweise irgendwie eine *.crt + *.key auf die Firewall zu bekommen und einzubinden?
MfG