[Eisfair_dev] openvpn2 1.0.5 testing für eisfair1 released
Olaf Jaehrling
eisfair at ojaehrling.de
Mo Okt 23 22:17:37 CEST 2017
Hallo Frank,
Frank Eckelmann schrieb am 23.10.2017 um 08:53:
> Hallo Olaf,
>
> die Nachricht sollte eigentlich auch an die NG gehen.....
>
>
>> Die Umstellung ist nicht auf meinem Mist gewachsen, sondern beruht auf
>> Änderungen bei openssl. Dieses lässt md5, weil unsicher, nicht mehr zu.
>
> D.h. wenn es ein openssl Update gibt ist es vorbei mit den VPN-Zugängen?
Zumindest mit der für Eisfair aktuell verfügbaren Version ja. Deshalb
musste ich openvpn mit der Vorgängerversion kompilieren. M.W.n
unterstüzt openssl in Version 1.0.2l das nicht mehr.
Wenn ich openvpn mit der aktuellen openssl kompiliere sind alle
VPN-Verbinungen tot und es kommen im Logfile Fehlermeldungen, die
besagen, dass md5 zu schwach ist.
Thu Oct 5 20:55:18 2017 OpenSSL: error:140AB18E:SSL
routines:SSL_CTX_use_certificate:ca md too weak
Thu Oct 5 20:55:18 2017 Cannot load certificate file
/etc/openvpn/keys/openvpn.crt
Thu Oct 5 20:55:18 2017 Exiting due to fatal error
Es ist ja auch noch nicht zu spät. Noch läuft ja alles und du hast Zeit
alle Zertifikate nach und nach auszutauschen.
Vieleicht ist es ja ein gangbarer Weg, wenn du auf die Läppis nach und
nach die neuen Zertifikate mit neuem Namen lädst und dann an einem
Stichtag das neue ca aktivierst. Oder du lässt vorübergehend beide
Varianten zu indem du 2 Server laufen lässt. Wenn ale Clients umgestellt
sind schaltest du den alten Server ab. Das geht aber nur mit Handarbeit.
Ich könnte Dir dabei per Chat oder PM helfen
Gruß
Olaf
>
> Viele Grüße
> Frank
Mehr Informationen über die Mailingliste Eisfair_dev