ocserv 使用 startssl 证书,怎么设置

2014-07-26 22:18:48 +08:00
 kxjhlele
ocserv 使用 startssl证书,怎么设置,已经得到了ssl.key 和 ssl.crt,也对 私钥进行了解密,之后怎么得到服务器证书。求流程。
14551 次点击
所在节点    问与答
21 条回复
janxin
2014-07-26 23:08:47 +08:00
ocserv这个貌似要转一下的,具体没搞,发现自己安装根证书也不算事儿
Satelli
2014-07-26 23:41:51 +08:00
不应该是直接填进 conf 里面吗...

kxjhlele
2014-07-27 08:32:34 +08:00
@Satelli 果然是这样,是我盲目了,我以为得到的ssl.key和ssl.crt是ca-cert.pem和ca-key.pem,在利用这个生成server的呢,
msg7086
2014-07-27 08:55:33 +08:00
@kxjhlele CA证书哪会随便给……那可是价值只是上千万的东西呢。
msg7086
2014-07-27 08:56:35 +08:00
s/只是/至少/
rwzsycwan
2014-07-28 03:50:49 +08:00
我申请的comodo Free SSL Certificate 用域名登陆还是会报证书CN和名称不一致
试下anyconnect-win-3.1.05170版本的客户端还会不会有:the service provider in your current location is restricting access to the internet. you need to log on with the service provider before you can establish a vpn session. you cantry this by visiting any website with your browser. 这个错误 ??
kxjhlele
2014-07-28 09:12:53 +08:00
@rwzsycwan 你的证书域名和你的登陆域名一致吗,要是一致不应该这样的呀。我是用的二级域名专门进行登陆的,单独签的证书,
rwzsycwan
2014-07-28 12:37:28 +08:00
@kxjhlele 额 我比对过了,一模一样啊. 你用 startssl证书后还有没有报the service provider in your current location is restricting access to the internet. you need to log on with the service provider before you can establish a vpn session. you cantry this by visiting any website with your browser. 这个错误?? 我的还会报这个错误
Satelli
2014-07-28 16:12:32 +08:00
@rwzsycwan 这个是思科客户端的问题。换成 3.0 版本即可。名称不一致是因为你连接时候的域名没有弄对吧,我的 StartSSL 弄的没问题。
rwzsycwan
2014-07-28 17:02:21 +08:00
@Satelli 额 3.0版本的客户端与Win8.1不兼容,老卡死。难道要换回win7
rwzsycwan
2014-07-28 17:05:16 +08:00
@Satelli 这样的话我还是折腾自签名证书吧,用不用付费的证书感觉无所谓,都一样。
Satelli
2014-07-31 22:29:31 +08:00
@rwzsycwan 自用的话自签一个就行了。
windblueos
2014-09-28 21:02:53 +08:00
请问楼主已经搞定了 ocserv 证书签证的问题了吗
kxjhlele
2014-09-29 17:05:04 +08:00
@windblueos 搞定了,已经搞定 ocserv 使用 startssl 证书,对ssl.key进行解密得到的就是server-key.pem、ssl.crt即为server-cert.pem。
windblueos
2014-09-29 18:22:23 +08:00
@kxjhlele 我最近一直在纠结这个问题,我能否方便问下你的整个过程,ios一直输密码比较烦人
hejiaxian
2015-03-04 21:22:36 +08:00
@kxjhlele 我提示签好了startssl的证书,放进去vps提示GnuTLS error (at tlslib.c:785): Base64 unexpected header error.
mac2man
2015-07-28 16:31:52 +08:00
@kxjhlele 楼主知道用startssl如何生成p12格式的证书呢?
flipphos
2015-09-03 12:49:55 +08:00
我之前也是用自签名证书的,每次登陆需要确认,比较烦。刚刚搞定了 startssl 的证书。很简单,但是网上就是没有全的,记录一下,供后来者参考。

1. 从 StartSSL 得到 ssl.in.key 秘钥和 cert.crt 证书,解密 ssl.in.key :
openssl rsa -in ssl.in.key -out cert.key
其中输入密码: xxx
得到无密码的 cert.key 。

2. 合并证书,得到 server-cert.pem
wget http://cert.startssl.com/certs/ca.pem
wget http://cert.startssl.com/certs/sub.class1.server.ca.pem
cat cert.crt sub.class1.server.ca.pem ca.pem > server-cert.pem

3. mkdir /etc/ocserv/startssl
Cp cert.key server-cert.pem /etc/ocserv/startssl

4. 设置 server-cert 和 server-key 属性
server-cert = /etc/ocserv/startssl/server-cert.pem
server-key = /etc/ocserv/startssl/cert.key

5. 安卓、 IOS 均无需密码登陆,测试成功。

6. 客户证书可以沿用自己 CA 签发的证书,无需改动。
flipphos
2015-09-03 13:01:36 +08:00
@mac2man

要将证书和密钥转为 PKCS12 的格式。
certtool --to-p12 --load-privkey user-key.pem --pkcs-cipher 3des-pkcs12 --load-certificate user-cert.pem --outfile user.p12 --outder

如果出现兼容性问题的话,可以试试:
openssl pkcs12 -export -inkey user-key.pem -in user-cert.pem -certfile ca-cert.pem -out user.p12
williamwue
2016-02-03 16:14:21 +08:00
@flipphos 非常感谢你的教程,按你的步骤成功搭建 anyconnect server 。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/124651

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX