IPsec mezi FreeBSD a Win2k

[Dan Lukes]

Prib Pavel wrote:


> Zkusim-li ping z W2K na BSD vynada mi racoon nasledujicim zpusobem:
...
> 2002-07-03 15:04:47: ERROR: crypto_openssl.c:337:cb_check_cert():
> U((134875904) at depth:0 SubjectName:`o
> 2002-07-03 15:04:47: ERROR: oakley.c:1288:oakley_validate_auth():
> Invalid authority of the CERT.

	To jste na ale posledne nenapsal ...
"Invalid authority of the CERT." je pomerne jasne mluvici hlaska ...

Klic, kterym se Windows prezentuji se nedari overit jako platny - bud' 
proto, ze se nedari najit certifikat certifikacni autority, ktera jej 
udajne podepsala, nebo se ho sice podari najit, ale certifikat jim 
platne podepsany neni, nebo jeste nezacala nebo uz uplynula doba 
platnosti certifikatu a/nebo certifikatu CA.

	Jiste jsem si na vsechny moznosti proc muze byt klic zamitnut nevzpomel ...
	
Vemte certifikat, kterym se Windows prezentuji a pouzijte
openssl verify -verbose -CApath <path> certificate.pem
kde <path> je adresar s certifikaty certifikacnich autorit (stejny 
adresar jako mate napsany v konfiguraci racoona).

	To by melo byt trochu sdilnejsi o duvodech proc certifikat overit nelze.

> a pri ping-u z BSD na W2K to dopadne takto:
> 
> 2002-07-03 15:07:12: ERROR: oakley.c:1532:oakley_getsign(): failed to
> get private key.
> 2002-07-03 15:07:12: ERROR: isakmp.c:623:ph1_main(): failed to process
> packet.

	Ve svetle predchozi casti LOGu se zda toto potvrzovat nejaky problem s 
certifikaty a jejich podepsanim certifikacni autoritou.

	Jen me tak napadlo, nemate ty certifikaty nahodou "self-signed" ? 
Potrebujete opravdu regulerne podepsane certifikaty.

							Dan




-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz