我正在使用 PKI 基础设施设置服务器到服务器 OpenVPN,但无法使其工作。我怀疑它是证书链中的东西,但我不知道如何解释。我有一个离线根 CA 和一个证书层次结构。CA 由称为 EJBCA 的产品在外部进行管理。从图片上看,链条看起来像这样(名称已更改):
RootCA -> OnlineSubCA -> SubCA1 -> VPNCA
我使用 CA VPNCA 签署了服务器和客户端证书,并在这些系统上拥有证书链。在调试 OpenVPN 时,我尝试使用“openssl s_server”和 s_client”,这让我相信这是 CA 链。特别是在服务器上:
openssl s_server -cert server.cert -key server.key -CAfile chained.pem -verify 5
并在客户端
openssl s_client -cert client.cert -key client.key -CAfile chained.pem -verify 5
服务器回吐,除其他外:
depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify error:num=24:invalid CA certificate
verify return:1
depth=3 C = CA, O = My Company, CN = OnlineSubCA
verify error:num=26:unsupported certificate purpose …