IPsec mezi FreeBSD a Win2k

Prib Pavel pavel.prib at i.cz
Wed Jul 3 16:46:08 CEST 2002


> 	To jste na ale posledne nenapsal ...

Hm. Tato hlaska posledne nebyla. Az kdyz jsem vse smazal a znovu
nahral,
tak na mne "vykoukla".

> "Invalid authority of the CERT." je pomerne jasne mluvici hlaska ...
> 
> Klic, kterym se Windows prezentuji se nedari overit jako 
> platny - bud' 
> proto, ze se nedari najit certifikat certifikacni autority, ktera
jej 
> udajne podepsala, nebo se ho sice podari najit, ale certifikat jim 
> platne podepsany neni, nebo jeste nezacala nebo uz uplynula doba 
> platnosti certifikatu a/nebo certifikatu CA.
> 
> 	Jiste jsem si na vsechny moznosti proc muze byt klic 
> zamitnut nevzpomel ...
> 	
> Vemte certifikat, kterym se Windows prezentuji a pouzijte
> openssl verify -verbose -CApath <path> certificate.pem
> kde <path> je adresar s certifikaty certifikacnich autorit (stejny 
> adresar jako mate napsany v konfiguraci racoona).
> 
> 	To by melo byt trochu sdilnejsi o duvodech proc 
> certifikat overit nelze.

Ju. Tady "zakopanej pes":

error 20 at 0 depth lookup:unable to get local issuer certificate

Nenapadlo mi si overit platnost certifikatu, nebot pri vytvareni se
vse tvarilo OK.
Jdu to hledat.

> 	Jen me tak napadlo, nemate ty certifikaty nahodou 
> "self-signed" ? 
> Potrebujete opravdu regulerne podepsane certifikaty.

Nemyslim, ze by byly "self-signed", nebot jsem u "openssl ca ..."
nepouzil parametr "-ss_cert"

openssl ca -policy policy_match -out user-signed.pem -config
openssl.conf -infiles user-req.pem

    Pavel



More information about the Users-l mailing list