classic.ISPforum.cz

Fórum československých telekomunikací
https://classic.ispforum.cz/

import CA do mikrotiku jak dostat flag Authority

https://classic.ispforum.cz/viewtopic.php?f=51&t=22036

Stránka 1 z 1

import CA do mikrotiku jak dostat flag Authority

Napsal: 23 Feb 2017 17:28
od libortt
Zdravim,


s Mikrotiky jsem zacatecnik. Snazim se naimportovat certifikacni autoritu do mikrotiku. Import se mi podari, ale certifikat je pouze s flagem T, tedy trusted. Mel by tam byt podle me i A-authority. CA je vygenerovana jako digest SHA-1, key lenght 4096

Co muzu delat spatne? Cil je openVPN server a na tomhle jsem zadrel.

Prosim pomoc :)

dekuji moc

Re: import CA do mikrotiku jak dostat flag Authority

Napsal: 23 Feb 2017 19:26
od Noxus28
Ahoj
Skús si mrknúť na návod na tomto fóre. Ja som podľa toho nasadzoval certifikát na web hotspot a všetko išlo OK
http://forum.mikrotik.com/viewtopic.php ... 919d487ca1

Re: import CA do mikrotiku jak dostat flag Authority

Napsal: 23 Feb 2017 20:49
od kadlcikales
Doporučuji postupovat podle návodu od MK , podle návodu si můžeš vytvořit certifikát v MK , pokud to máš jen pro openvpn tak to bohatě stačí .... http://wiki.mikrotik.com/wiki/Manual:Cr ... rtificates

Re: import CA do mikrotiku jak dostat flag Authority

Napsal: 23 Feb 2017 22:56
od libortt
Díky moc, šlo mi o to trochu pochopit práci s certifikáty, ale k tomu se vrátím jindy. Jel jsem tedy podle dokumentace, jen jsem si zvětšit key size. VPN klient ale nadává na key usage, zkusil jsem tedy certifikáty vygenerovat znovu s key usage, co jsem se dočetl k openVPN, ale stejně mám pocit, že jsem to udělal blbě. Tušíte někdo prosím, v čem jsem udělal chybu? Děkuji moc

Thu Feb 23 22:40:54 2017 VERIFY OK: depth=1, CN=mojeCA
Thu Feb 23 22:40:54 2017 Validating certificate key usage
Thu Feb 23 22:40:54 2017 ++ Certificate has key usage 00a8, expects 00a0
Thu Feb 23 22:40:54 2017 ++ Certificate has key usage 00a8, expects 0088
Thu Feb 23 22:40:54 2017 VERIFY KU ERROR
Thu Feb 23 22:40:54 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Thu Feb 23 22:40:54 2017 TLS_ERROR: BIO read tls_read_plaintext error
Thu Feb 23 22:40:54 2017 TLS Error: TLS object -> incoming plaintext read error
Thu Feb 23 22:40:54 2017 TLS Error: TLS handshake failed
Thu Feb 23 22:40:54 2017 Fatal TLS error (check_tls_errors_co), restarting
Thu Feb 23 22:40:54 2017 SIGUSR1[soft,tls-error] received, process restarting
Thu Feb 23 22:40:54 2017 MANAGEMENT: >STATE:1487886054,RECONNECTING,tls-error,,

[libor@MikroTik] /certificate> print detail
Flags: K - private-key, D - dsa, L - crl, C - smart-card-key, A - authority,
I - issued, R - revoked, E - expired, T - trusted
0 K L A T name="mojeCA" common-name="mojeCA" key-size=4096
days-valid=365 trusted=yes key-usage=key-cert-sign,crl-sign
ca-crl-host="192.168.1.1" serial-number="3E3E094B1AA9C34F"
fingerprint="fa6e98de12354bde4d057f4392ac56a2a351e29b628474968d3cea53
741529ac"
invalid-before=feb/23/2017 22:31:36
invalid-after=feb/23/2018 22:31:36

1 K I name="server" common-name="server" key-size=4096 days-valid=365
trusted=yes key-usage=digital-signature,key-encipherment,key-
agreement,tls-server
ca=mojeCA serial-number="698F2A05E78E339E"
fingerprint="abe6ffe4adf213e746af08f6d8e940c34e1208fd74d6588a9206197b
a5bff739"
invalid-before=feb/23/2017 22:31:52
invalid-after=feb/23/2018 22:31:52

2 K I name="client1" common-name="client1" key-size=4096 days-valid=365
trusted=no key-usage=digital-signature,key-agreement,tls-client
ca=mojeCA serial-number="136E6ACA1A5C3F6A"
fingerprint="f0f47487fda1063f4e3fcccff16fb6b8ebda5786053439bfb91a9757
43011277"
invalid-before=feb/23/2017 22:32:01
invalid-after=feb/23/2018 22:32:01

3 K I name="client2" common-name="client2" key-size=4096 days-valid=365
trusted=no key-usage=digital-signature,key-encipherment,tls-client
ca=mojeCA serial-number="6651895679D077B3"
fingerprint="7728fc742fb702f38e3e30beb2e9ba18f7df2dee6e8738eaeb28119d
8065da5c"
invalid-before=feb/23/2017 22:32:15
invalid-after=feb/23/2018 22:32:15

konfig klienta, taky muze byt neco spatne, ucim se s tim a dost vecim jeste nerozumim:
client
remote xxx.xxx.xxx.xxx
dev tun
verb 3
port 1194
proto tcp-client
nobind
ca cert_export_mojecaCA.crt
cert client1.crt
key client1.key
tls-client
remote-cert-tls server
#remote-cert-ku b6
#cipher AES-256-CBC
#autho-nocache
#redirect-gateway
tls-timeout 300
#hand-window 300
#comp-lzo

Re: import CA do mikrotiku jak dostat flag Authority

Napsal: 24 Feb 2017 09:44
od kadlcikales
Když nastavíte MK podle tohoto postupu měl by se vám vygenerovat certifikát a mělo by vám to fungovat (psáno z hlavy , už jsem to dlouho nenastavoval , kdyby to i tak nešlo ještě napište) :D tak snad jsem vám pomohl


/certificate add name=CA common-name=CA key-usage=key-cert-sgn,crl-sign
/certificate add name=SERVER common-name=SERVER
/certificate add name=CLIENT_ADMIN common-name=CLIENT_ADMIN
/certificate add name=CLIENT common-nme=CLIENT

JDU DO WINBOXU : SYSTÉM - CERTIFICATES - VYPLNÍM (VYPLNIT U VŠECH CERTIFIKÁTŮ STEJNÉ ÚDAJE !!) , COUNTRY , STATE , LOCALITY , ORGANIZATION , UNIT , KEY SIZE , DAYS VALID

VÍCE NA OBRÁZKU


/certificate sign CA ca-crl-host=VEREJNA IP name=CA
/certificate sign SERVER ca=CA name=SERVER
/certificate sign CLIENT_ADMIN ca=CA name=CLENT_ADMIN


/certificate set CA trusted=yes
/certificate set SERVER trusted=yes

/certificate export-certificate CA
/certificate export-certificate CLIENT_ADMIN export-passphrase=XXXXXXXHESLOXXXXXXX
/certificate export-certificate CLIENT export-passphrase=XXXXXXXHESLOXXXXXX

/ip pool add name=OPENVPN_SERVER_POOL range=(LOCAL IP ADRESY KTERÉ SE MOC NEPOUŽÍVAJÍ TŘEBA 172.31.0.2-172.31.0.254)
/ppp profile add name=OPENVPN_SERVER local-address=172.31.0.1 remote-address=OPENVPN_SERVER_POOL


/ppp secret add name=CLIENT_ADMIN password=XXXXXHESLOXXXXX profile=OPENVPN_SERVER
/ppp secret add name=CLIENT password=XXXXXHESLOXXXXX profile=OPENVPN_SERVER

/interface ovpn-server server set enabled=yes certificate=CA auth=sha1 cipher=aes256 port=1194 netmask=24 require-client-certificate=yes mode=ip


CLIENT_ADMIN CERTIFIKAT OPEN VPN :

client
dev tun
proto tcp-client
remote <VEŘEJNA IP> 1194
nobind
persist-tun
cipher AES-256-CBC
verb 2
mute 3

auth-user-pass user.auth
ca CA.crt
cert CLIENT_ADMIN.crt
key CLIENT_ADMIN.key

CLIENT CERTIFIKAT OPEN VPN :

client
dev tun
proto tcp-client
remote <VEŘEJNA IP> 1194
nobind
persist-tun
cipher AES-256-CBC
verb 2
mute 3

auth-user-pass user.auth
ca CA.crt
cert CLIENT.crt
key CLIENT.key

Re: import CA do mikrotiku jak dostat flag Authority

Napsal: 26 Feb 2017 22:17
od libortt
kde soudruzi z NDR udelali pri generovani serveroveho certifikatu chybu? :) je mi divny, ze pri generovani se nikde nenastavuje, ze se jedna o serverovy certifikat jen "tls server", coz je mozna ono :) podle me je urcite nejaka chyba v srv certifikatu, viz. require nsCertType=SERVER
Postupoval jsem podle toho, co jste mi napsal, ale mozna jsem to proste pohnojil :)

Sun Feb 26 20:43:58 2017 VERIFY OK: depth=1, C=CZ, ST=CZ, L=Praha, O=mojefirma, OU=mojefirma, CN=CA
Sun Feb 26 20:43:58 2017 VERIFY nsCertType ERROR: C=CZ, ST=CZ, L=Praha, O=mojefirma, OU=mojefirma, CN=SERVER, require nsCertType=SERVER
Sun Feb 26 20:43:58 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Sun Feb 26 20:43:58 2017 TLS_ERROR: BIO read tls_read_plaintext error
Sun Feb 26 20:43:58 2017 TLS Error: TLS object -> incoming plaintext read error
Sun Feb 26 20:43:58 2017 TLS Error: TLS handshake failed
Sun Feb 26 20:43:58 2017 Fatal TLS error (check_tls_errors_co), restarting
Sun Feb 26 20:43:58 2017 SIGUSR1[soft,tls-error] received, process restarting
Sun Feb 26 20:43:59 2017 SIGHUP[hard,init_instance] received, process restarting
Sun Feb 26 20:43:59 2017 OpenVPN 2.3.14 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb 1 2017
Sun Feb 26 20:43:59 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Sun Feb 26 20:43:59 2017 library versions: OpenSSL 1.0.2k 26 Jan 2017, LZO 2.09
Sun Feb 26 20:44:00 2017 SIGTERM[hard,init_instance] received, process exiting



1.jpg

2.jpg


client
dev tun
proto tcp-client
remote mojeip 1194
nobind
persist-tun
cipher AES-256-CBC
ns-cert-type server
verb 2
ca cert_export_CA.crt
cert cert_export_CLIENT.crt
key cert_export_CLIENT.key

Re: import CA do mikrotiku jak dostat flag Authority

Napsal: 27 Feb 2017 09:01
od kadlcikales
Postupoval bych na podle návodu výše (nejlépe na vyresetovaném MikroTik) , rozhodně bych nepřidával více klíčů certifikačních autorit , MikroTik to pak nebere dobře :D viz obrázky , A POZOR MikroTik má proprietární implementaci OpenVPN ... Neumí UDP ALE POUZE TCP ....

Re: import CA do mikrotiku jak dostat flag Authority

Napsal: 27 Feb 2017 09:28
od kadlcikales
V certifikátu pro clienta by mělo být :

client
dev tun
proto tcp
remote 95.82.139.5 1195
ca CA.crt
cert CLIENT_ADMIN.crt
key CLIENT_ADMINI.key
auth SHA1
auth-user-pass
cipher AES-256-CBC
redirect-gateway def1

Re: import CA do mikrotiku jak dostat flag Authority

Napsal: 01 Mar 2017 23:26
od libortt
zdravim,

at uz se stavim na hlavu, vzdycky zadru na tomhle:

Wed Mar 01 23:05:56 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Wed Mar 01 23:05:56 2017 TLS_ERROR: BIO read tls_read_plaintext error
Wed Mar 01 23:05:56 2017 TLS Error: TLS object -> incoming plaintext read error
Wed Mar 01 23:05:56 2017 TLS Error: TLS handshake failed
Wed Mar 01 23:05:56 2017 Fatal TLS error (check_tls_errors_co), restarting
Wed Mar 01 23:05:56 2017 SIGUSR1[soft,tls-error] received, process restarting

kdyz vypnu required client cert
Wed Mar 01 23:24:28 2017 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: CN=myCa
Wed Mar 01 23:24:28 2017 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Wed Mar 01 23:24:28 2017 TLS_ERROR: BIO read tls_read_plaintext error
Wed Mar 01 23:24:28 2017 NOTE: --mute triggered...
Wed Mar 01 23:24:28 2017 2 variation(s) on previous 3 message(s) suppressed by --mute
Wed Mar 01 23:24:28 2017 Fatal TLS error (check_tls_errors_co), restarting
Wed Mar 01 23:24:28 2017 SIGUSR1[soft,tls-error] received, process restarting
Wed Mar 01 23:24:29 2017 SIGTERM[hard,init_instance] received, process exiting

i kdyz postupuji primo podle manuali, nemam u klient a srv certifikatu ten flag "I", furt se v tom motam, nechapu to. Maji v tom manualu chybu nebo jsem proste blbej?
https://wiki.mikrotik.com/wiki/Manual:C ... rtificates


blbe je, ze uz jsem v tom tak zamotanej, ze uz zkousim pokus omyl, kdyby u me nekdo stal a vysvetlil mi, v cem delam chybu :(

Re: import CA do mikrotiku jak dostat flag Authority

Napsal: 05 Mar 2017 10:04
od libortt
Ahoj,


nastesti mi pomohl kamarad, nakonec jsme prisli na to, ze tenhle postup bud pocita s tim, ze uzivatel neni natvrdlej jako ja nebo nevim. Nicmene pokud se vygeneruje certifikat podle tohohle postupu,
https://wiki.mikrotik.com/wiki/Manual:C ... rtificates
je potreba u SRV a CLIENT certifikatu specifikovat radne key usage, a zbytek vyhazet, jak uvadi https://openvpn.net/index.php/open-sour ... .html#auth

pro server to je key-agreement,key-encipherment,digital-signature,tls-server
pro klienta key-agreement,digital-signature,tls-client

Hlavni chybou bylo, ze kdyz jsem nevyhodil key-cert-sign,crl-sign, tak certifikat klienta a serveru povazoval za certifikacni autoritu a nepodepsal ho proto

Jeste jsem vyhodil CA-CRL Host, ale to nevim, jestli ma vliv na funkci :)

Pak jsme prehodil openvpn na ethernet mode a upravili config na tuto podobu

client
dev tap
proto tcp-client
remote xxxxxxxxx 1194
nobind
persist-tun
cipher AES-256-CBC
#ns-cert-type server - v certifikatu mam mozna porad spatne, kdyz to zapnu, rve ze chce require nsCertType=SERVER
# to je jeste jedna vec se kterou bojuji, ale nevim, co delam spatne :(
tls-client
verb 2
auth-user-pass

ca CA.crt
cert CLIENT.crt
key CLIENT.key
Všechny časy jsou v UTC+02:00
Stránka 1 z 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/