openvpn iphone 3.0 証明書エラー?
1,039 views
Skip to first unread message
かきくん
Aug 30, 2018, 9:47:18 PM8/30/18
to OpenVPN Japan Users Group
こんにちは、お世話になります。
最近件名の通り最新のアプリにアップデートしましたところエラーになり接続ができなくなりました。
ログを調べましたところ以下のメッセージの通り証明書のエラーと思われますが、再度証明書をインポートをしてもエラーになります。因みにPCでは問題なく接続できるのでiPhoneアプリの設定とかんがえておりますが、如何でしょうか?宜しくお願いします。
エラーメッセージ:
10:34:40 ----- OpenVPN Start -----
OpenVPN core 3.2 ios arm64 64-bit PT_PROXY built on Aug 17 2018 09:49:39
2018-34-31 10:34:40 Frame=512/2048/512 mssfix-ctrl=1250
2018-34-31 10:34:40 UNUSED OPTIONS
4 [resolv-retry] [infinite]
5 [nobind]
6 [persist-key]
7 [persist-tun]
13 [verb] [3]
2018-34-31 10:34:40 EVENT: RESOLVE
2018-34-31 10:34:40 Contacting [153.220.92.73]:1194/TCP via TCP
2018-34-31 10:34:40 EVENT: WAIT
2018-34-31 10:34:41 Connecting to [○○○.jp]:1194 (153.220.92.73) via TCPv4
2018-34-31 10:34:41 EVENT: CONNECTING
2018-34-31 10:34:41 Tunnel Options:V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client
2018-34-31 10:34:41 Creds: UsernameEmpty/PasswordEmpty
2018-34-31 10:34:41 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 3.0.0-712
IV_VER=3.2
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO=1
IV_IPv6=1
IV_AUTO_SESS=1
IV_BS64DL=1
2018-34-31 10:34:41 VERIFY OK : depth=1
cert. version : 3
serial number : D1:08:59:3F:9E:3D:9D:92
issuer name : C=JP, ST=○○○, L=○○○, O=○○○, OU=changeme, CN=○○○, ??=changeme, emailAddress=○○○
subject name : C=JP, ST=○○○, L=○○○, O=○○○, OU=changeme, CN=○○○, ??=changeme, emailAddress=○○○
issued on : 2015-10-08 08:36:00
expires on : 2025-10-05 08:36:00
signed using : RSA with SHA1
RSA key size : 1024 bits
basic constraints : CA=true
2018-34-31 10:34:41 VERIFY FAIL -- The certificate is signed with an unacceptable hash. : depth=0
cert. version : 3
serial number : 01
issuer name : C=JP, ST=○○○, L=○○○, O=○○○, OU=changeme, CN=○○○, ??=changeme, emailAddress=○○○
subject name : C=JP, ST=○○○, L=○○み, O=○○○, OU=changeme, CN=○○○, ??=changeme, emailAddress=○○○
issued on : 2015-10-08 08:37:11
expires on : 2025-10-05 08:37:11
signed using : RSA with MD5
RSA key size : 1024 bits
basic constraints : CA=false
cert. type : SSL Server
key usage : Digital Signature, Key Encipherment
ext key usage : TLS Web Server Authentication
2018-34-31 10:34:41 Transport Error: mbed TLS: SSL read error : X509 - Certificate verification failed, e.g. CRL, CA or signature check failed
2018-34-31 10:34:41 EVENT: CERT_VERIFY_FAIL mbed TLS: SSL read error : X509 - Certificate verification failed, e.g. CRL, CA or signature check failed [ERR]
2018-34-31 10:34:41 Raw stats on disconnect:
BYTES_IN : 2424
BYTES_OUT : 240
PACKETS_IN : 4
PACKETS_OUT : 2
SSL_ERROR : 1
2018-34-31 10:34:41 Performance stats on disconnect:
CPU usage (microseconds): 63939
Network bytes per CPU second: 41664
Tunnel bytes per CPU second: 0
2018-34-31 10:34:41 EVENT: DISCONNECTED
2018-34-31 10:34:41 Raw stats on disconnect:
BYTES_IN : 2424
BYTES_OUT : 240
PACKETS_IN : 4
PACKETS_OUT : 2
SSL_ERROR : 1
CERT_VERIFY_FAIL : 1
2018-34-31 10:34:41 Performance stats on disconnect:
CPU usage (microseconds): 64771
Network bytes per CPU second: 41129
Tunnel bytes per CPU second: 0
最近件名の通り最新のアプリにアップデートしましたところエラーになり接続ができなくなりました。
ログを調べましたところ以下のメッセージの通り証明書のエラーと思われますが、再度証明書をインポートをしてもエラーになります。因みにPCでは問題なく接続できるのでiPhoneアプリの設定とかんがえておりますが、如何でしょうか?宜しくお願いします。
エラーメッセージ:
10:34:40 ----- OpenVPN Start -----
OpenVPN core 3.2 ios arm64 64-bit PT_PROXY built on Aug 17 2018 09:49:39
2018-34-31 10:34:40 Frame=512/2048/512 mssfix-ctrl=1250
2018-34-31 10:34:40 UNUSED OPTIONS
4 [resolv-retry] [infinite]
5 [nobind]
6 [persist-key]
7 [persist-tun]
13 [verb] [3]
2018-34-31 10:34:40 EVENT: RESOLVE
2018-34-31 10:34:40 Contacting [153.220.92.73]:1194/TCP via TCP
2018-34-31 10:34:40 EVENT: WAIT
2018-34-31 10:34:41 Connecting to [○○○.jp]:1194 (153.220.92.73) via TCPv4
2018-34-31 10:34:41 EVENT: CONNECTING
2018-34-31 10:34:41 Tunnel Options:V4,dev-type tun,link-mtu 1544,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client
2018-34-31 10:34:41 Creds: UsernameEmpty/PasswordEmpty
2018-34-31 10:34:41 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 3.0.0-712
IV_VER=3.2
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO=1
IV_IPv6=1
IV_AUTO_SESS=1
IV_BS64DL=1
2018-34-31 10:34:41 VERIFY OK : depth=1
cert. version : 3
serial number : D1:08:59:3F:9E:3D:9D:92
issuer name : C=JP, ST=○○○, L=○○○, O=○○○, OU=changeme, CN=○○○, ??=changeme, emailAddress=○○○
subject name : C=JP, ST=○○○, L=○○○, O=○○○, OU=changeme, CN=○○○, ??=changeme, emailAddress=○○○
issued on : 2015-10-08 08:36:00
expires on : 2025-10-05 08:36:00
signed using : RSA with SHA1
RSA key size : 1024 bits
basic constraints : CA=true
2018-34-31 10:34:41 VERIFY FAIL -- The certificate is signed with an unacceptable hash. : depth=0
cert. version : 3
serial number : 01
issuer name : C=JP, ST=○○○, L=○○○, O=○○○, OU=changeme, CN=○○○, ??=changeme, emailAddress=○○○
subject name : C=JP, ST=○○○, L=○○み, O=○○○, OU=changeme, CN=○○○, ??=changeme, emailAddress=○○○
issued on : 2015-10-08 08:37:11
expires on : 2025-10-05 08:37:11
signed using : RSA with MD5
RSA key size : 1024 bits
basic constraints : CA=false
cert. type : SSL Server
key usage : Digital Signature, Key Encipherment
ext key usage : TLS Web Server Authentication
2018-34-31 10:34:41 Transport Error: mbed TLS: SSL read error : X509 - Certificate verification failed, e.g. CRL, CA or signature check failed
2018-34-31 10:34:41 EVENT: CERT_VERIFY_FAIL mbed TLS: SSL read error : X509 - Certificate verification failed, e.g. CRL, CA or signature check failed [ERR]
2018-34-31 10:34:41 Raw stats on disconnect:
BYTES_IN : 2424
BYTES_OUT : 240
PACKETS_IN : 4
PACKETS_OUT : 2
SSL_ERROR : 1
2018-34-31 10:34:41 Performance stats on disconnect:
CPU usage (microseconds): 63939
Network bytes per CPU second: 41664
Tunnel bytes per CPU second: 0
2018-34-31 10:34:41 EVENT: DISCONNECTED
2018-34-31 10:34:41 Raw stats on disconnect:
BYTES_IN : 2424
BYTES_OUT : 240
PACKETS_IN : 4
PACKETS_OUT : 2
SSL_ERROR : 1
CERT_VERIFY_FAIL : 1
2018-34-31 10:34:41 Performance stats on disconnect:
CPU usage (microseconds): 64771
Network bytes per CPU second: 41129
Tunnel bytes per CPU second: 0
Taro Yamazaki
Aug 30, 2018, 10:48:58 PM8/30/18
to openvpn-japa...@googlegroups.com
こんにちは、やまざきです。
> 2018-34-31 10:34:41 VERIFY FAIL -- The certificate is signed with an unacceptable hash. : depth=0
> signed using : RSA with MD5
> RSA key size : 1024 bits
ご報告の事象ですが、こちらが原因と考えられます。
> RSA key size : 1024 bits
以下の情報と関連があるかもしれません。
FS#405 - openvpn-mbedtls can not verify certificate
https://bugs.openwrt.org/index.php?do=details&task_id=405
iOSで使用しているmbedtlsでは、安全性のため2048ビット未満の鍵は使用できなくなっています。
OpenSSLは2048ビット未満の鍵も受け入れますので、両者での動作の違いの原因となります。
それで、2048ビット以上で作成して試してみてください。
上記ページではダイジェストとしてMD5ではなくSHA256を使うとの記載もありますが、こちらもお試しいただくといいかもしれません。
::: Taro Yamazaki [ ta...@plum-systems.co.jp ]
: <Blog> http://yamatamemo.blogspot.jp/
: <LinkedIn> http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao-ku,
: Kawasaki, Kanagawa
: http://www.plum-systems.co.jp/
かきくん
Sep 1, 2018, 12:06:38 AM9/1/18
to OpenVPN Japan Users Group
やまざき様
早々にのご返信ありがとうございます。
証明書を2048ビット以上にするには、サーバ側も変更が必要でしょうか。現在、本社サーバをで二つの支店が繋げているので、なるたけサーバ側はいじりたくないのが本音です。お手数をお掛けいたしますが、宜しくお願いします。
早々にのご返信ありがとうございます。
証明書を2048ビット以上にするには、サーバ側も変更が必要でしょうか。現在、本社サーバをで二つの支店が繋げているので、なるたけサーバ側はいじりたくないのが本音です。お手数をお掛けいたしますが、宜しくお願いします。
Reply all
Reply to author
Forward
0 new messages