V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
kxjhlele
V2EX  ›  问与答

ocserv 使用 startssl 证书,怎么设置

  •  
  •   kxjhlele · 2014-07-26 22:18:48 +08:00 · 14735 次点击
    这是一个创建于 3774 天前的主题,其中的信息可能已经有所发展或是发生改变。
    ocserv 使用 startssl证书,怎么设置,已经得到了ssl.key 和 ssl.crt,也对 私钥进行了解密,之后怎么得到服务器证书。求流程。
    第 1 条附言  ·  2014-07-27 19:18:39 +08:00
    已经搞定 ocserv 使用 startssl 证书,对ssl.key进行解密得到的就是server-key.pem、ssl.crt即为server-cert.pem。

    AnyConnect 连接服务器已经不会提示证书不可信了。
    21 条回复    2016-11-05 08:17:03 +08:00
    janxin
        1
    janxin  
       2014-07-26 23:08:47 +08:00 via iPad
    ocserv这个貌似要转一下的,具体没搞,发现自己安装根证书也不算事儿
    Satelli
        2
    Satelli  
       2014-07-26 23:41:51 +08:00   ❤️ 2
    不应该是直接填进 conf 里面吗...

    kxjhlele
        3
    kxjhlele  
    OP
       2014-07-27 08:32:34 +08:00
    @Satelli 果然是这样,是我盲目了,我以为得到的ssl.key和ssl.crt是ca-cert.pem和ca-key.pem,在利用这个生成server的呢,
    msg7086
        4
    msg7086  
       2014-07-27 08:55:33 +08:00
    @kxjhlele CA证书哪会随便给……那可是价值只是上千万的东西呢。
    msg7086
        5
    msg7086  
       2014-07-27 08:56:35 +08:00
    s/只是/至少/
    rwzsycwan
        6
    rwzsycwan  
       2014-07-28 03:50:49 +08:00
    我申请的comodo Free SSL Certificate 用域名登陆还是会报证书CN和名称不一致
    试下anyconnect-win-3.1.05170版本的客户端还会不会有:the service provider in your current location is restricting access to the internet. you need to log on with the service provider before you can establish a vpn session. you cantry this by visiting any website with your browser. 这个错误 ??
    kxjhlele
        7
    kxjhlele  
    OP
       2014-07-28 09:12:53 +08:00
    @rwzsycwan 你的证书域名和你的登陆域名一致吗,要是一致不应该这样的呀。我是用的二级域名专门进行登陆的,单独签的证书,
    rwzsycwan
        8
    rwzsycwan  
       2014-07-28 12:37:28 +08:00
    @kxjhlele 额 我比对过了,一模一样啊. 你用 startssl证书后还有没有报the service provider in your current location is restricting access to the internet. you need to log on with the service provider before you can establish a vpn session. you cantry this by visiting any website with your browser. 这个错误?? 我的还会报这个错误
    Satelli
        9
    Satelli  
       2014-07-28 16:12:32 +08:00
    @rwzsycwan 这个是思科客户端的问题。换成 3.0 版本即可。名称不一致是因为你连接时候的域名没有弄对吧,我的 StartSSL 弄的没问题。
    rwzsycwan
        10
    rwzsycwan  
       2014-07-28 17:02:21 +08:00
    @Satelli 额 3.0版本的客户端与Win8.1不兼容,老卡死。难道要换回win7
    rwzsycwan
        11
    rwzsycwan  
       2014-07-28 17:05:16 +08:00
    @Satelli 这样的话我还是折腾自签名证书吧,用不用付费的证书感觉无所谓,都一样。
    Satelli
        12
    Satelli  
       2014-07-31 22:29:31 +08:00
    @rwzsycwan 自用的话自签一个就行了。
    windblueos
        13
    windblueos  
       2014-09-28 21:02:53 +08:00   ❤️ 1
    请问楼主已经搞定了 ocserv 证书签证的问题了吗
    kxjhlele
        14
    kxjhlele  
    OP
       2014-09-29 17:05:04 +08:00
    @windblueos 搞定了,已经搞定 ocserv 使用 startssl 证书,对ssl.key进行解密得到的就是server-key.pem、ssl.crt即为server-cert.pem。
    windblueos
        15
    windblueos  
       2014-09-29 18:22:23 +08:00
    @kxjhlele 我最近一直在纠结这个问题,我能否方便问下你的整个过程,ios一直输密码比较烦人
    hejiaxian
        16
    hejiaxian  
       2015-03-04 21:22:36 +08:00
    @kxjhlele 我提示签好了startssl的证书,放进去vps提示GnuTLS error (at tlslib.c:785): Base64 unexpected header error.
    mac2man
        17
    mac2man  
       2015-07-28 16:31:52 +08:00
    @kxjhlele 楼主知道用startssl如何生成p12格式的证书呢?
    flipphos
        18
    flipphos  
       2015-09-03 12:49:55 +08:00
    我之前也是用自签名证书的,每次登陆需要确认,比较烦。刚刚搞定了 startssl 的证书。很简单,但是网上就是没有全的,记录一下,供后来者参考。

    1. 从 StartSSL 得到 ssl.in.key 秘钥和 cert.crt 证书,解密 ssl.in.key :
    openssl rsa -in ssl.in.key -out cert.key
    其中输入密码: xxx
    得到无密码的 cert.key 。

    2. 合并证书,得到 server-cert.pem
    wget http://cert.startssl.com/certs/ca.pem
    wget http://cert.startssl.com/certs/sub.class1.server.ca.pem
    cat cert.crt sub.class1.server.ca.pem ca.pem > server-cert.pem

    3. mkdir /etc/ocserv/startssl
    Cp cert.key server-cert.pem /etc/ocserv/startssl

    4. 设置 server-cert 和 server-key 属性
    server-cert = /etc/ocserv/startssl/server-cert.pem
    server-key = /etc/ocserv/startssl/cert.key

    5. 安卓、 IOS 均无需密码登陆,测试成功。

    6. 客户证书可以沿用自己 CA 签发的证书,无需改动。
    flipphos
        19
    flipphos  
       2015-09-03 13:01:36 +08:00
    @mac2man

    要将证书和密钥转为 PKCS12 的格式。
    certtool --to-p12 --load-privkey user-key.pem --pkcs-cipher 3des-pkcs12 --load-certificate user-cert.pem --outfile user.p12 --outder

    如果出现兼容性问题的话,可以试试:
    openssl pkcs12 -export -inkey user-key.pem -in user-cert.pem -certfile ca-cert.pem -out user.p12
    williamwue
        20
    williamwue  
       2016-02-03 16:14:21 +08:00
    @flipphos 非常感谢你的教程,按你的步骤成功搭建 anyconnect server 。
    Yuky
        21
    Yuky  
       2016-11-05 08:17:03 +08:00
    楼主怎么用 startssl 生成 ocserv 的 server 证书啊?告诉我好吗?登录老是提示证书不可信,处女座表示无法接受。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3126 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 14:00 · PVG 22:00 · LAX 06:00 · JFK 09:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.