Все технические форумы на одном сайте Удобный поиск информации с популярных форумов в одном месте
Вопрос: Https, клиентский сертификат, apache2 и hsts

Здравствуйте.
Продолжаю ломать ownCloud, параллельно изучая.
Сегодня весь день пытался сотворить себе зашифрованное подключение https. Пока работаю в локалке, но потом мб пригодится.
Так вот.
Для начала я создал необходимые папки:
Bash
1
2
sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts
сертификат должен быть доверенным и прочее и прочее)
Все делал как в руководстве к ubuntu для создания сертификатов:
Bash
1
2
sudo sh -c "echo '01' > /etc/ssl/CA/serial"
sudo touch /etc/ssl/CA/index.txt
Записываем какие мы сертификаты выпустили.
Редактируем файл /etc/ssl/openssl.cnf меняя следующие строки так:
Code
1
2
3
4
5
dir             = /etc/ssl/             # Where everything is kept
database        = $dir/CA/index.txt     # database index file.
certificate     = $dir/certs/cacert.pem # The CA certificate
serial          = $dir/CA/serial        # The current serial number
private_key     = $dir/private/cakey.pem# The private key
Теперь создаю сертификат самоподписанный:
Bash
1
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
переносим сертификат и ключ в соответсвующие папки:
Bash
1
2
sudo mv cakey.pem /etc/ssl/private/
sudo mv cacert.pem /etc/ssl/certs/
Дальше создал crs файл для сертификата.
Bash
1
2
openssl genrsa -des3 -out server.key 2048
openssl req -new -key server.key -out server.csr
Получил файл server.csr
Ну и подписываю его
Bash
1
sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf
Получил сертификат 01.pem
Убунта не ругалась, все было хорошо.
Дальше в руководстве написано:
Выделите и скопируйте все, начиная со строки -----BEGIN CERTIFICATE----- и до строки -----END CERTIFICATE----- в файл с названием по сетевому имени сервера, где он будет установлен. Например, mail.example.com.crt - вполне хорошее описательное имя.
Вот тут трабла. У меня облако на серваке и я стучусь к нему так: 192.168.0.11\owncloud. Ясно, что мне не дадут написать ип слеш и название, поэтому я назвал свой файл owncloud.crt.
Ну и последний пункт:
Наконец, скопируйте новый сертификат на компьютер, для которого он выпущен, и настройте соответствующие приложения на его использование. Место по умолчанию для установки сертификатов - каталог /etc/ssl/certs. Это позволяет многим сервисам использовать один и тот же сертификат без чрезмерного усложнения прав доступа к файлу.
Вот, я скопировал файл owncloud.crt.
Так. Теперь я подключаюсь к облаку, используя https:\\192... а он говорит, что сертификат у меня не соответствует адресу, и вообще не является доверенным, поэтому https перечеркнуто. Но ниже написано, что соединение зашифровано современными методами шифрования.

Лезу в админку owncloud. Ошибка, что я не пользуюсь https пропала. Почему не знаю, мб я и правда его использую.
Но появилось другое:
Заголовок HTTP "Strict-Transport-Security" должен быть настроен хотя бы на "15768000" секунд.
Я нашел файл default-ssl.conf, и добавил туда следующее:
Code
1
2
3
4
5
6
<VirtualHost *:443>
  ServerName cloud.owncloud.com
    <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
    </IfModule>
 </VirtualHost>
Нагуглил это. Но ошибка не пропадает.
Добавил в файл 000-default.conf (он же вроде главный среди хостовых настроек), написал ЭТО туда, облако стало недоступным через https.
Помогите найти ошибку?
 Комментарий модератора Marinero
Кроме тэга [B][/B] есть и другие
Ответ:
Сообщение от Механ
А трафик у меня сейчас шифруется или нет?
шифруется, вы ж в браузере соглашаетесь на соединение с сайтом с недоверенным сертификатом
Вопрос: Сертификат сервера не прошёл проверку подлинности. Как это исправить?

Последнее время amarok стал выдавать сообщение: Сертификат сервера не прошёл проверку подлинности (librivox.org) Как это исправить и почему оно появляется? Ведь раньше всё было в порядке (ничего не менял и не устанавливал).
Ответ: Возможно у сервера протух сертификат.
Если в почты типа гугловской или яндекса (по hpps) входится через браузер без подобных сообщений, значит в системе все нормально, беда на стороне сервера.
Вопрос: бесплатные ssl сертификаты

а вы можете мне обьяснить одну вещь, есть например сервис который выдает бесплатные SSL сертификаты, там они присылают архив на почту, там 2 файла crt, key! А теперь вопрос можно если key перегенерировать будет ли работать данный сертификат ? иначе к такому ключу доверия нет...
Ответ:
мимопроходилтреднечитал
loginovru,

Какую генерацию, наркоман? Кто-то сгенерит ещё одну пару ключей для твоего CN и выпустит ещё один серт, вернёт серт тебе, и ты им будешь пользоваться? У тебя обострение психоза от жары?

ты понимаешь, что ты не можешь понять элементарной вещи, что имея на руках готовый csr можно сгенерировать key и crt! короче неадыкват ИДИ БРОДИ, консультируй таких же как ты сам....
Вопрос: Размещение ssl сертификата

Здравствуйте!!!

Подскажите пожалуйста неопытному пока юзеру linux, я впервые настраиваю vds для размещения сайта на nodejs и nuxtjs, все разместил и настроил за пару дней, но когда остался последний шаг (как я думал простецкий) я столкнулся с проблемой. Как собственно настроить https.
На хостинге мне написали - "Вам нужно создать виртуальный хост для сайта, разместить сертификаты и указать путь до них."
1. Вам нужно создать виртуальный хост для сайта:
Нашел на сайте ну пока так настроил.
Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
sudo cp /etc/apache2/sites-enabled/000-default.conf /etc/apache2/sites-enabled/site1.ru.conf
<IfModule mod_ssl.c>
<VirtualHost *:443>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/html
ServerName site1.ru
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
SSLEngine on
SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem
SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key
<FilesMatch "\.(cgi|shtml|phtml|php)$">
SSLOptions +StdEnvVars
</FilesMatch>
</VirtualHost>
</IfModule>
2. разместить сертификаты и указать путь до них:
Вот тут я не понимаю что делать, куда разместить и как и что.
У меня есть сертификат в виде файла и корневой сертификат. Какой из них нужен и где прописывать это и куда разметить? Подскажите что делать я уже замонался.
Ответ: а сам ssl-модуль у апача включен?
Код
sudo a2enmod ssl
и перезапустить апач
Вопрос: Не выполняется обновление сертификатов letsencrypt по крону от рута

Привет, у меня такая проблема
поставил на крон команду от рут-пользователя
Bash
1
cd /certbot/ && ./certbot-auto renew
она выполняется раз в сутки и должна продлять действие сертификатов которые подходит к концу
так вот, задание выполняется по крону но сертификаты не продляются

но вот в чем дело если я захожу под рут-пользователем в терминал putty и выполняю ту же команду
Bash
1
cd /certbot/ && ./certbot-auto renew
то сертификаты продляются на 3 месяца, а через крон не хотят че-то хотя на крон ставлю задание от рот пользователя
кто скажет в чем прикол, может у кого-то такая лабуда была и он это как-то победил, просто ручками команду
выполнять как-то не очень так можно и забыть, сертификаты просрочить и сайты выпадут из поиска.

Добавлено через 2 часа 23 минуты
выполнил задание принудительно через панель испн-менеджера
Bash
1
cd /certbot/ && ./certbot-auto renew
крутилась пустая страница более минуты в браузере, но при этом лицензии обновились, но проблема не исчезла, эта команда запускается по крону каждый день
Bash
1
cd /certbot/ && ./certbot-auto renew
но не выполняется, а выполняется только если руками принудительно запустить или выполнить команду в терминале от рута

вот такая непонятка.....

кто что скажет, ЗНАТОКИ???
Ответ:
Сообщение от serauto79
что мне это даст?
файл такого содержания цертбот сам установил у меня в систему (в первй строке указан полный путь и имя. результат - мой цертбот сам обновляется
Сообщение от serauto79
что мне это даст?
не знаю
Вопрос: webmin (Сертификат безопасности)

Здраствуйте! Установил webmin, в конфиге /etc/webmin/miniserv.conf прописал "allow=0.0.0.0", что бы слушало на всех интерфейсах, когда питаюсь зайти "http://localhost:10000" ругаеться на сертификат.. Мол самоподписной и зоходить нельзя!!!
Конкретнее сам код ошыбки вот ((Код ошибки: sec_error_untrusted_issuer))!!!
Может кто сталкивался з подобным?
Ответ: Может кому пригодится можно отключить ssl в конфиге miniserv.conf в строке ssl выставить 0 вместо 1. И убрать https.
Вопрос: pidgin+openfire (local) перестал работать. ubuntu 1204

pidgin+openfire (local) перестал работать.
стоит локальный сервер openfire, и всё было хорошо, но недавно добавлял в сеть несколько новых компов там стоит ubuntu 12.04 и самые свежие обновления. на всём этом перестал работать pidgin. ругается на цепочки сертификатов "Сертификат для 192.168.0.1 не может быть подтверждён. Предоставленная цепочка сертификатов некорректна." на тех хостах где все работает стоит такая же версия pidgin. и кстати spark (родной клиент openfire) работает на проблемных машинах.
Сервер openfire после этого обновил - не помогло.
Есть какие идеи ?
Ответ: нашёл из-за чего так...
проблема в названии файла сертификата.
если сертификат называется айпишником сервера, т.е. в моём случае в папке tls_peers лежит файл с названием 192.168.0.1 то всё работает нормально, если же воспользоваться импортом этого сертификата через инструмент "сертификаты" в пиджине, то он сам подставляет в поле имени имя сервера jabber (не путать с именем хоста - они разные), я на это внимания не обращал и спокойно жал "ОК". в этом случае уже не работает.

хотелось бы разобраться почему стало так. ведь раньше всё работало без ручного вмешательства.

З.Ы. ADMINDM спасибо за помощь.
Вопрос: VSFTPD на Centos 7 с SSL

Задача следующая:
Дать анонимным пользователям доступ к FTP только при наличии у них сертификата, не запрашивая логин-пароль. (это SFTP, насколько я понял из манов)

На данный момент работает:
1) подключение к FTP с использованием сертификата + логина-пароля локального юзера
2) подключение к FTP с использованием логина-пароля локального юзера без сертификата

Не работает:
3) подключение "анонимно" с предъявлением сертификата. Постоянно требует логин-пароль. Никакие anonymous + пустой пароль не канают.

Ответ:
не работает, анонимуса не пускает.
В принципе, это можно опустить уже.
Нашлась другая бага.
При таком конфиге (выключил анонимусов на всякий) WinSCP заходит на сервер без предоставления сертификата клиента, просто по логин+пароль
FireFTP при аналогичных попытках получает пинок под зад.
Что-то поднадоело бороться с этим

Сделал все как надо за 5 минут на NGINX: импорт сертификата и пускает на сервер. Но все равно "очень просят" сделать

Куда копать теперь с этим WinSCP?
Вопрос: бесплатные ssl/tls сертификаты от https://letsencrypt.org/ ?

ну че они уже начали выдавать ? расскажите впечатления ? как там ? какие условия ? что и как ?
Ответ: up
Вопрос: Настройка VPN Ubuntu 15.10

Добрый вечер.
Возникла задача настроить VPN от клиента на Windows 7 и сервер на Ubuntu 15.10.
На сервере установлен strongswan 5.3. Установка соединения с использованием IKEV2 и использование
сертификатов. Пока сервер и клиент на виртуальных тачках.
Настроил. Сгенерировал и подписал сертификаты.
Не хочет создавать подключение.На клиенте выдает ошибку IKE
На сервере в логах пишет следующее:
[C]
Dec 9 15:16:29 user-VirtualBox charon: 10[NET] received packet: from 192.168.180.140[500] to 192.168.180.210[500] (792 bytes)
Dec 9 15:16:29 user-VirtualBox charon: 10[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Dec 9 15:16:29 user-VirtualBox charon: 10[IKE] 192.168.180.140 is initiating an IKE_SA
Dec 9 15:16:29 user-VirtualBox charon: 10[IKE] IKE_SA (unnamed)[4] state change: CREATED => CONNECTING
Dec 9 15:16:29 user-VirtualBox charon: 10[IKE] sending cert request for "C=ua, ST=ua, L=ua, O=ua, OU=ua, CN=ua, E=ua"
Dec 9 15:16:29 user-VirtualBox charon: 10[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Dec 9 15:16:29 user-VirtualBox charon: 10[NET] sending packet: from 192.168.180.210[500] to 192.168.180.140[500] (333 bytes)
Dec 9 15:16:29 user-VirtualBox charon: 12[NET] received packet: from 192.168.180.140[4500] to 192.168.180.210[4500] (1756 bytes)
Dec 9 15:16:29 user-VirtualBox charon: 12[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ]
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] received cert request for "C=ua, ST=ua, L=ua, O=ua, OU=ua, CN=ua, E=ua"
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] received 23 cert requests for an unknown ca
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] received end entity cert "C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua"
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] authentication of 'C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua' with RSA signature successful
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] processing INTERNAL_IP4_ADDRESS attribute
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] processing INTERNAL_IP4_DNS attribute
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] processing INTERNAL_IP4_NBNS attribute
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] processing INTERNAL_IP4_SERVER attribute
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] peer supports MOBIKE
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] authentication of 'C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua' (myself) with RSA signature successful
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] IKE_SA rw[4] established between 192.168.180.210[C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua]...192.168.180.140[C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua]
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] IKE_SA rw[4] state change: CONNECTING => ESTABLISHED
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] scheduling reauthentication in 3314s
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] maximum IKE_SA lifetime 3494s
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] sending end entity cert "C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua"
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] peer requested virtual IP %any
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] assigning virtual IP 20.1.1.1 to peer 'C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua'
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] no acceptable proposal found
Dec 9 15:16:29 user-VirtualBox charon: 12[IKE] failed to establish CHILD_SA, keeping IKE_SA
Dec 9 15:16:29 user-VirtualBox charon: 12[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR) N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) N(NO_PROP) ]
Dec 9 15:16:29 user-VirtualBox charon: 12[NET] sending packet: from 192.168.180.210[4500] to 192.168.180.140[4500] (1156 bytes)
Dec 9 15:16:30 user-VirtualBox charon: 13[NET] received packet: from 192.168.180.140[500] to 192.168.180.210[500] (792 bytes)
Dec 9 15:16:30 user-VirtualBox charon: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Dec 9 15:16:30 user-VirtualBox charon: 13[IKE] 192.168.180.140 is initiating an IKE_SA
Dec 9 15:16:30 user-VirtualBox charon: 13[IKE] IKE_SA (unnamed)[5] state change: CREATED => CONNECTING
Dec 9 15:16:30 user-VirtualBox charon: 13[IKE] sending cert request for "C=ua, ST=ua, L=ua, O=ua, OU=ua, CN=ua, E=ua"
Dec 9 15:16:30 user-VirtualBox charon: 13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]
Dec 9 15:16:30 user-VirtualBox charon: 13[NET] sending packet: from 192.168.180.210[500] to 192.168.180.140[500] (333 bytes)
Dec 9 15:16:30 user-VirtualBox charon: 05[NET] received packet: from 192.168.180.140[4500] to 192.168.180.210[4500] (1756 bytes)
Dec 9 15:16:30 user-VirtualBox charon: 05[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV) SA TSi TSr ]
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] received cert request for "C=ua, ST=ua, L=ua, O=ua, OU=ua, CN=ua, E=ua"
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] received cert request for unknown ca with keyid a7:1e:95:83:1f:65:5a:d9:76:99:34:22:27:fc:b8:c6:ef:78:53:e0
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] received 23 cert requests for an unknown ca
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] received end entity cert "C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua"
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] authentication of 'C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua' with RSA signature successful
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] processing INTERNAL_IP4_ADDRESS attribute
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] processing INTERNAL_IP4_DNS attribute
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] processing INTERNAL_IP4_NBNS attribute
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] processing INTERNAL_IP4_SERVER attribute
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] peer supports MOBIKE
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] authentication of 'C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua' (myself) with RSA signature successful
Dec 9 15:16:30 user-VirtualBox charon: 05[IKE] IKE_SA rw[5] established between 192.168.180.210[C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua]...192.168.180.140
C
1
2
3
4
5
6
7
8
9
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] IKE_SA rw[5] state change: CONNECTING => ESTABLISHED
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] scheduling reauthentication in 3346s
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] maximum IKE_SA lifetime 3526s
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] sending end entity cert "C=ua, ST=ua, O=ua, OU=ua, CN=ua, E=uaua"
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] peer requested virtual IP %any
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] assigning virtual IP 20.1.1.2 to peer 'C=ua, ST=ua, O=ua, OU=client, CN=client, E=ua'
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] no acceptable proposal found
Dec  9 15:16:30 user-VirtualBox charon: 05[IKE] failed to establish CHILD_SA, keeping IKE_SA
Dec  9 15:16:30 user-VirtualBox charon: 05[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR) N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) N(NO_PROP) ]



Вот пример конфигурационных файлов
Ipsec.conf
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
config setup  # данная секция определяет базовые параметры
       strictcrlpolicy=no
       charondebug="ike 2, knl 3, cfg 0"
conn %default  # определяет базовые параметры всех IPSEC-соединений
     ikelifetime=60m
     keylife=20m
     rekeymargin=3m
     keyingtries=1
     dpdaction=restart
     dpddelay=30s
     dpdtimeout=180s
conn rw # название IPSEC-соединения
  left=192.168.180.210 # адрес внешнего интерфейса
  leftauth=pubkey # говорим, что мы авторизуемся у клиент с помощью сертификата RSA
  right=%any # к нам можно подключиться с любого IP
  rightauth=pubkey # клиент авторизуется у нас по сертификату RSA
  rightsourceip=20.1.1.1/12  # из этого пула будет выдаваться IP-адрес для клиента
  auto=add # подключение будет инициироваться клиентом
  keyexchange=ikev2
  type=tunnel

strongswan.conf
C
1
2
3
charon {
    load_modular = curl test-vectors aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc cmac ctr ccm gcm stroke kernel-netlink socket-default updown eap-identity
}
openssl.cnf
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
HOME            = .
RANDFILE        = $ENV::HOME/.rnd
# Extra OBJECT IDENTIFIER info:
#oid_file       = $ENV::HOME/.oid
oid_section     = new_oids
[ new_oids ]
tsa_policy1 = 1.2.3.4.1
tsa_policy2 = 1.2.3.4.5.6
tsa_policy3 = 1.2.3.4.5.7
####################################################################
[ ca ]
default_ca  = CA_default        # The default ca section
####################################################################
[ CA_default ]
 
dir     = /usr/local/etc/ipsec.d # Where everything is kept
certs       = $dir/certs        # Where the issued certs are kept
crl_dir     = $dir/crl      # Where the issued crl are kept
database    = $dir/index.txt    # database index file.
new_certs_dir   = $dir/newcerts     # default place for new certs.
certificate = $dir/cacerts/strongswanCert.pem   # The CA certificate
serial      = $dir/serial       # The current serial number
crlnumber   = $dir/crlnumber    
crl     = $dir/crl.pem      # The current CRL
private_key = $dir/private/strongswanKey.pem# The private key
RANDFILE    = $dir/private/.rand    # private random number file
#subjectAltName=IP:192.168.180.210
x509_extensions = usr_cert      # The extentions to add to the cert
 
# Comment out the following two lines for the "traditional"
# (and highly broken) format.
name_opt    = ca_default        # Subject Name options
cert_opt    = ca_default        # Certificate field options
default_days    = 365           # how long to certify for
default_crl_days= 30            # how long before next CRL
default_md  = default       # use public key default MD
preserve    = no            # keep passed DN ordering
policy      = policy_match
# For the CA policy
[ policy_match ]
countryName     = match
stateOrProvinceName = match
organizationName    = match
organizationalUnitName  = optional
commonName      = supplied
emailAddress        = optional
[ policy_anything ]
countryName     = optional
stateOrProvinceName = optional
localityName        = optional
organizationName    = optional
organizationalUnitName  = optional
commonName      = supplied
emailAddress        = optional
[ req ]
default_bits        = 2048
default_keyfile     = privkey.pem
distinguished_name  = req_distinguished_name
attributes      = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert
string_mask = utf8only
[ req_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = AU
countryName_min         = 2
countryName_max         = 2
stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Some-State
 
localityName            = Locality Name (eg, city)
 
0.organizationName      = Organization Name (eg, company)
0.organizationName_default  = Internet Widgits Pty Ltd
organizationalUnitName      = Organizational Unit Name (eg, section)
 
commonName          = Common Name (e.g. server FQDN or YOUR name)
commonName_max          = 64
 
emailAddress            = Email Address
emailAddress_max        = 64
 
# SET-ex3           = SET extension number 3
 
[ req_attributes ]
challengePassword       = A challenge password
challengePassword_min       = 4
challengePassword_max       = 20
 
unstructuredName        = An optional company name
 
[ usr_cert ]
basicConstraints=CA:FALSE
nsComment           = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
 
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
 
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = CA:true
[ crl_ext ]
authorityKeyIdentifier=keyid:always
 
[ proxy_cert_ext ]
basicConstraints=CA:FALSE
nsComment           = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
proxyCertInfo=critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo
[ tsa ]
 
default_tsa = tsa_config1   # the default TSA section
 
[ tsa_config1 ]
 
# These are used by the TSA reply generation only.
dir     = ./demoCA      # TSA root directory
serial      = $dir/tsaserial    # The current serial number (mandatory)
crypto_device   = builtin       # OpenSSL engine to use for signing
signer_cert = $dir/tsacert.pem  # The TSA signing certificate
                    # (optional)
certs       = $dir/cacert.pem   # Certificate chain to include in reply
                    # (optional)
signer_key  = $dir/private/tsakey.pem # The TSA private key (optional)
 
default_policy  = tsa_policy1       # Policy if request did not specify it
                    # (optional)
other_policies  = tsa_policy2, tsa_policy3  # acceptable policies (optional)
digests     = md5, sha1     # Acceptable message digests (mandatory)
accuracy    = secs:1, millisecs:500, microsecs:100  # (optional)
clock_precision_digits  = 0 # number of digits after dot. (optional)
ordering        = yes   # Is ordering defined for timestamps?
                # (optional, default: no)
tsa_name        = yes   # Must the TSA name be included in the reply?
                # (optional, default: no)
ess_cert_id_chain   = no    # Must the ESS cert id chain be included?
                # (optional, default: no)
Ответ: Может комуто полезно будет. проблема была в настройке клиента. Там в регистре надо было добавить значение что бы он не полностью проверядл сертификат