IPsec mezi FreeBSD a Win2k
Dan Lukes
dan at obluda.cz
Wed Jul 3 16:10:39 CEST 2002
Prib Pavel wrote:
> Zkusim-li ping z W2K na BSD vynada mi racoon nasledujicim zpusobem:
...
> 2002-07-03 15:04:47: ERROR: crypto_openssl.c:337:cb_check_cert():
> U((134875904) at depth:0 SubjectName:`o
> 2002-07-03 15:04:47: ERROR: oakley.c:1288:oakley_validate_auth():
> Invalid authority of the CERT.
To jste na ale posledne nenapsal ...
"Invalid authority of the CERT." je pomerne jasne mluvici hlaska ...
Klic, kterym se Windows prezentuji se nedari overit jako platny - bud'
proto, ze se nedari najit certifikat certifikacni autority, ktera jej
udajne podepsala, nebo se ho sice podari najit, ale certifikat jim
platne podepsany neni, nebo jeste nezacala nebo uz uplynula doba
platnosti certifikatu a/nebo certifikatu CA.
Jiste jsem si na vsechny moznosti proc muze byt klic zamitnut nevzpomel ...
Vemte certifikat, kterym se Windows prezentuji a pouzijte
openssl verify -verbose -CApath <path> certificate.pem
kde <path> je adresar s certifikaty certifikacnich autorit (stejny
adresar jako mate napsany v konfiguraci racoona).
To by melo byt trochu sdilnejsi o duvodech proc certifikat overit nelze.
> a pri ping-u z BSD na W2K to dopadne takto:
>
> 2002-07-03 15:07:12: ERROR: oakley.c:1532:oakley_getsign(): failed to
> get private key.
> 2002-07-03 15:07:12: ERROR: isakmp.c:623:ph1_main(): failed to process
> packet.
Ve svetle predchozi casti LOGu se zda toto potvrzovat nejaky problem s
certifikaty a jejich podepsanim certifikacni autoritou.
Jen me tak napadlo, nemate ty certifikaty nahodou "self-signed" ?
Potrebujete opravdu regulerne podepsane certifikaty.
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list