这是一个创建于 3762 天前的主题,其中的信息可能已经有所发展或是发生改变。
ocserv 使用 startssl证书,怎么设置,已经得到了ssl.key 和 ssl.crt,也对 私钥进行了解密,之后怎么得到服务器证书。求流程。
第 1 条附言 · 2014-07-27 19:18:39 +08:00
已经搞定 ocserv 使用 startssl 证书,对ssl.key进行解密得到的就是server-key.pem、ssl.crt即为server-cert.pem。
AnyConnect 连接服务器已经不会提示证书不可信了。
AnyConnect 连接服务器已经不会提示证书不可信了。
 |
1
janxin 2014-07-26 23:08:47 +08:00 via iPad
ocserv这个貌似要转一下的,具体没搞,发现自己安装根证书也不算事儿
|
 |
2
Satelli 2014-07-26 23:41:51 +08:00  2
不应该是直接填进 conf 里面吗...
 |
 |
3
kxjhlele OP @Satelli 果然是这样,是我盲目了,我以为得到的ssl.key和ssl.crt是ca-cert.pem和ca-key.pem,在利用这个生成server的呢,
|
 |
5
msg7086 2014-07-27 08:56:35 +08:00
s/只是/至少/
|
 |
6
rwzsycwan 2014-07-28 03:50:49 +08:00
我申请的comodo Free SSL Certificate 用域名登陆还是会报证书CN和名称不一致
试下anyconnect-win-3.1.05170版本的客户端还会不会有:the service provider in your current location is restricting access to the internet. you need to log on with the service provider before you can establish a vpn session. you cantry this by visiting any website with your browser. 这个错误 ?? |
|
7
kxjhlele OP @rwzsycwan 你的证书域名和你的登陆域名一致吗,要是一致不应该这样的呀。我是用的二级域名专门进行登陆的,单独签的证书,
|
|
8
rwzsycwan 2014-07-28 12:37:28 +08:00
@kxjhlele 额 我比对过了,一模一样啊. 你用 startssl证书后还有没有报the service provider in your current location is restricting access to the internet. you need to log on with the service provider before you can establish a vpn session. you cantry this by visiting any website with your browser. 这个错误?? 我的还会报这个错误
|
|
9
Satelli 2014-07-28 16:12:32 +08:00
@rwzsycwan 这个是思科客户端的问题。换成 3.0 版本即可。名称不一致是因为你连接时候的域名没有弄对吧,我的 StartSSL 弄的没问题。
|
 |
13
windblueos 2014-09-28 21:02:53 +08:00 1
请问楼主已经搞定了 ocserv 证书签证的问题了吗
|
|
14
kxjhlele OP @windblueos 搞定了,已经搞定 ocserv 使用 startssl 证书,对ssl.key进行解密得到的就是server-key.pem、ssl.crt即为server-cert.pem。
|
|
15
windblueos 2014-09-29 18:22:23 +08:00
@kxjhlele 我最近一直在纠结这个问题,我能否方便问下你的整个过程,ios一直输密码比较烦人
|
 |
16
hejiaxian 2015-03-04 21:22:36 +08:00
@kxjhlele 我提示签好了startssl的证书,放进去vps提示GnuTLS error (at tlslib.c:785): Base64 unexpected header error.
|
 |
18
flipphos 2015-09-03 12:49:55 +08:00
我之前也是用自签名证书的,每次登陆需要确认,比较烦。刚刚搞定了 startssl 的证书。很简单,但是网上就是没有全的,记录一下,供后来者参考。
1. 从 StartSSL 得到 ssl.in.key 秘钥和 cert.crt 证书,解密 ssl.in.key : openssl rsa -in ssl.in.key -out cert.key 其中输入密码: xxx 得到无密码的 cert.key 。 2. 合并证书,得到 server-cert.pem wget http://cert.startssl.com/certs/ca.pem wget http://cert.startssl.com/certs/sub.class1.server.ca.pem cat cert.crt sub.class1.server.ca.pem ca.pem > server-cert.pem 3. mkdir /etc/ocserv/startssl Cp cert.key server-cert.pem /etc/ocserv/startssl 4. 设置 server-cert 和 server-key 属性 server-cert = /etc/ocserv/startssl/server-cert.pem server-key = /etc/ocserv/startssl/cert.key 5. 安卓、 IOS 均无需密码登陆,测试成功。 6. 客户证书可以沿用自己 CA 签发的证书,无需改动。 |
|
19
flipphos 2015-09-03 13:01:36 +08:00
@mac2man
要将证书和密钥转为 PKCS12 的格式。 certtool --to-p12 --load-privkey user-key.pem --pkcs-cipher 3des-pkcs12 --load-certificate user-cert.pem --outfile user.p12 --outder 如果出现兼容性问题的话,可以试试: openssl pkcs12 -export -inkey user-key.pem -in user-cert.pem -certfile ca-cert.pem -out user.p12 |
 |
20
williamwue 2016-02-03 16:14:21 +08:00
@flipphos 非常感谢你的教程,按你的步骤成功搭建 anyconnect server 。
|
 |
21
Yuky 2016-11-05 08:17:03 +08:00
楼主怎么用 startssl 生成 ocserv 的 server 证书啊?告诉我好吗?登录老是提示证书不可信,处女座表示无法接受。
|
Select Language