Error ca md too weak
Linux Mint 21
Успешная установка openvpn.
OpenVPN 2.5.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Mar 22 2022
openssl version -a
OpenSSL 1.1.1q 5 Jul 2022
built on: Mon Aug 15 08:08:28 2022 UTC
platform: linux-x86_64
options: bn(64,64) rc4(16x,int) des(int) idea(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,–noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG
OPENSSLDIR: “/usr/local/ssl”
ENGINESDIR: “/usr/local/lib/engines-1.1”
Seeding source: os-specific
Теперь хочу подключиться к удаленной установке через openvpn.
sudo openvpn Leo.ovpn
но получаю ошибку:
2022-08-15 09:29:10 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless “allow-compression yes” is also set.
2022-08-15 09:29:10 –cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add ‘–data-ciphers-fallback BF-CBC’ to your configuration and/or add BF-CBC to –data-ciphers.
2022-08-15 09:29:10 WARNING: file ‘client.key’ is group or others accessible
2022-08-15 09:29:10 OpenVPN 2.5.5 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Mar 22 2022
2022-08-15 09:29:10 library versions: OpenSSL 3.0.2 15 Mar 2022, LZO 2.10
2022-08-15 09:29:10 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
2022-08-15 09:29:10 OpenSSL: error:0A00018E:SSL routines::ca md too weak
2022-08-15 09:29:10 Cannot load certificate file client.crt
2022-08-15 09:29:10 Exiting due to fatal error
Постскриптум я проверяю папку. Существующие файлы: client.crt и ca.crt
sudo openssl x509 -text -in ca.crt
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
d5:a0:93:fa:24:35:4d:95
Ответ
Ответ содержится в сообщениях об ошибках (error:0A00018E:SSL routines::ca md too weak). OpenSSL отказывается использовать сертификат CA, поскольку определенные параметры в настоящее время считаются небезопасными. Это может быть вызвано сертификатом, использующим MD5 или SHA1 для подписи.
Вы должны восстановить свой CA и сертификаты с помощью безопасных шифров, поскольку ваши текущие шифры больше не считаются безопасными.
Существует обходной путь, доступный путем добавления следующего в ваш openssl.cnf:
tls-cipher “DEFAULT:@SECLEVEL=0”
How to fix SSL issue SSL_CTX_use_certificate : ca md too weak on Python Zeep
мой код работал раньше, пока я не получал эту ошибку всякий раз, когда я отправляю запросы SOAP в веб-службу Frontierlink.
File “/home/venv/lib/python2.7/site-packages/OpenSSL/_util.py”, line 54, in exception_from_error_queue
raise exception_type(errors)
OpenSSL.SSL.Error: [(‘Процедуры SSL’, ‘SSL_CTX_use_certificate’, ‘ca md слишком слаб’)]
Нужно ли мне повторно создавать файл pem, который я использую для подключения, или проблема в файле .p12, который я использовал для создания файла pem?
Дайте мне знать, если вам нужна дополнительная информация по моей проблеме.
Примечания:
Версия OpenSSL, которую я использую: OpenSSL 1.0.2k-fips
Заранее благодарю вас!
Ответ
Регенерируйте файл CA, используя openssl с более сильным хэшем (например, sha256), чтобы петь так:
openssl genrsa -out private/cakey.pem 3072
openssl req -new -sha256 -key private/cakey.pem -out private/ca.csr -subj “/C=CN/ST=envoy-test/L=envoy-test/O=envoy-test/OU=envoy-test/CN=envoy-test”
openssl x509 -req -days 3650 -sha256 -extensions v3_ca -signkey private/cakey.pem -in private/ca.csr -out certs/ca.cer
