[英]Apache SSL Certificate configuration - sec_error_inadequate_cert_type
我认为我的SSL证书有些混乱。 我们正在对所有使用easy-rsa工具包生成的OpenVPN客户端(女巫工作正常)使用SSL证书。
现在我想对OpenVPN主机上的Web服务器使用相同的证书
所有密钥的长度为4096位。
我的想法是,对Apache来说,用法用途目的是错误的,但我不太确定。
root@howard~# openssl x509 -in howard.example.com.crt -text -noout
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 15 (0xf)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=AT, ST=STMK, L=Graz, O=Bee Company, OU=Root CA, CN=example.com/name=rootca/emailAddress=root@bee.example.com
Validity
Not Before: Aug 13 12:36:41 2013 GMT
Not After : Aug 11 12:36:41 2023 GMT
Subject: C=AT, ST=STMK, L=Graz, O=example.com.at, OU=changeme, CN=howard.example.com/name=howard.example.com/emailAddress=root@example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Modulus:
NOTHING_TO_READ_HERE :)
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
Easy-RSA Generated Certificate
X509v3 Subject Key Identifier:
NOTHING_TO_READ_HERE :)
X509v3 Authority Key Identifier:
keyid:NOTHING_TO_READ_HERE :)
DirName:/C=AT/ST=STMK/L=Graz/O=Bee Company/OU=Root CA/CN=example.com/name=rootca/emailAddress=root@bee.example.com
serial:NOTHING_TO_READ_HERE :)
X509v3 Extended Key Usage:
TLS Web Client Authentication
X509v3 Key Usage:
Digital Signature
Signature Algorithm: sha1WithRSAEncryption
当我使用easy-rsa工具包生成密钥时,我不知道如何更改/添加密钥的目的。
生成新的OpenVPN证书时,我所做的一切:
cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
vi vars
. ./vars
./build-key CLIENTNAME
在vars文件中,我什么也找不到。
但是Firefox正在返回
sec_error_inadequate_cert_type
如果我真的信任此证书,Microsoft的IE就会一遍又一遍地提示我...
关于我做错了什么或我需要做什么的任何想法?
我的想法是apache无法处理4096位键...
您的密钥用法和扩展密钥用法显然不适用于TLS服务器:
X509v3 Extended Key Usage: TLS Web Client Authentication X509v3 Key Usage: Digital Signature
对于Web服务器,您显然希望使用“ TLS Web服务器身份验证”扩展密钥。
对于密钥用法,它并不那么明显,但是您也想要密钥加密。
更多细节:
实际上,您可以使用easy-rsa做到这一点-只需使用build-key-server
而不是build-key
我遇到了同样的问题,但是通过浏览OpenVPN easyrsa中包含的openssl.config,我发现您可以使用./build-key-server脚本(对不起,如果我不准确,但是我正在Windows上使用OpenVPN ) 奇迹般有效 :)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.