Apache SSL证书配置-sec_error_inadequate_cert_type

Question

我认为我的SSL证书有些混乱。 我们正在对所有使用easy-rsa工具包生成的OpenVPN客户端（女巫工作正常）使用SSL证书。

现在我想对OpenVPN主机上的Web服务器使用相同的证书

所有密钥的长度为4096位。

我的想法是，对Apache来说，用法用途目的是错误的，但我不太确定。

root@howard~# openssl x509 -in howard.example.com.crt -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 15 (0xf)
    Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=AT, ST=STMK, L=Graz, O=Bee Company, OU=Root CA, CN=example.com/name=rootca/emailAddress=root@bee.example.com
        Validity
            Not Before: Aug 13 12:36:41 2013 GMT
            Not After : Aug 11 12:36:41 2023 GMT
        Subject: C=AT, ST=STMK, L=Graz, O=example.com.at, OU=changeme, CN=howard.example.com/name=howard.example.com/emailAddress=root@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (4096 bit)
                Modulus:
                    NOTHING_TO_READ_HERE :)
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                Easy-RSA Generated Certificate
            X509v3 Subject Key Identifier:
                NOTHING_TO_READ_HERE :)
            X509v3 Authority Key Identifier:
                keyid:NOTHING_TO_READ_HERE :)
                DirName:/C=AT/ST=STMK/L=Graz/O=Bee Company/OU=Root CA/CN=example.com/name=rootca/emailAddress=root@bee.example.com
                serial:NOTHING_TO_READ_HERE :)

            X509v3 Extended Key Usage:
                TLS Web Client Authentication
            X509v3 Key Usage:
                Digital Signature
    Signature Algorithm: sha1WithRSAEncryption

当我使用easy-rsa工具包生成密钥时，我不知道如何更改/添加密钥的目的。

生成新的OpenVPN证书时，我所做的一切：

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
vi vars
. ./vars
./build-key CLIENTNAME

在vars文件中，我什么也找不到。

但是Firefox正在返回

sec_error_inadequate_cert_type

如果我真的信任此证书，Microsoft的IE就会一遍又一遍地提示我...

关于我做错了什么或我需要做什么的任何想法？

我的想法是apache无法处理4096位键...

Answer 1

您的密钥用法和扩展密钥用法显然不适用于TLS服务器：

  X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Key Usage: Digital Signature 

对于Web服务器，您显然希望使用“ TLS Web服务器身份验证”扩展密钥。

对于密钥用法，它并不那么明显，但是您也想要密钥加密。

更多细节：

• NSS技术说明3
• 关于Security.SE的这些问题： SSL服务器证书的扩展以及每种密钥交换方法要求使用哪些密钥？

Answer 2

实际上，您可以使用easy-rsa做到这一点-只需使用build-key-server而不是build-key

Answer 3

我遇到了同样的问题，但是通过浏览OpenVPN easyrsa中包含的openssl.config，我发现您可以使用./build-key-server脚本（对不起，如果我不准确，但是我正在Windows上使用OpenVPN ） 奇迹般有效 ：）