Сертификат от VPN-сервера "vpn.mydomain.com" не прошел проверку с помощью Openconnect VPN - Причина: подписчик не найден - PullRequest
0 голосов
/ 21 февраля 2019

Я пытаюсь построить VPN между виртуальной машиной и несколькими Raspberry Pi.ВМ является VPN-сервером.

Мне нужна аутентификация с сертификатом без пароля, потому что он должен иметь возможность автоматического подключения к VPN при загрузке ОС на pi.

Я использовал easy-rsa-3 для генерации сертификатов, с опцией nopass, и, кажется, она отлично работает.

При тестировании на моем рабочем столе, с командой:

sudo openconnect https://vpn.mydomain.com/  --no-dtls -c client_01.p12

Я получаю

To trust this server in future, perhaps add this to your command line:
    --servercert sha256:ac5f7da20ef6fd872488b10f7730a15b0b913c68d083bdb5db3931xxxxxxxxxxxxx
Enter 'yes' to accept, 'no' to abort; anything else to view: 

, когдадобавив этот параметр в командную строку, он работает без необходимости какого-либо вывода.

Вот журнал, у меня есть предупреждения signer not found, но я не знаю, являются ли они важными.

POST https://vpn.mydomain.com/
Connected to xx.xx.xx.xx:443
Using client certificate 'client_01'
SSL negotiation with vpn.mydomain.com
Server certificate verify failed: signer not found
Connected to HTTPS on vpn.mydomain.com
XML POST enabled
SSL negotiation with vpn.mydomain.com
Server certificate verify failed: signer not found
Connected to HTTPS on vpn.mydomain.com
Got CONNECT response: HTTP/1.1 200 CONNECTED
CSTP connected. DPD 90, Keepalive 32400
Connected as 192.168.23.3, using SSL
RTNETLINK answers: File exists

Но когда я попробую то же самое на малине, он соединится, если я наберу yes в ответ на вопрос:

Certificate from VPN server "vpn.mydomain.com" failed verification.
Reason: signer not found
Enter 'yes' to accept, 'no' to abort; anything else to view: yes

, но это не говорит мне о добавлении--servercert param

Почему поведение отличается и как мне поступить?Но когда я соединяюсь с командой:

sudo openconnect https://vpn.mydomain.com/  --no-dtls -c client_01.p12
...