Warning: Memcache::addserver() expects parameter 2 to be long, string given in /usr/home/rpc/domains/rpc.one.pl/public_html/libraries/joomla/cache/storage/memcache.php on line 84 Racoon czyli ipsec - VPN adresy statyczne szyfrowanie rsa x509
 
 
Racoon czyli ipsec - VPN adresy statyczne szyfrowanie rsa x509 Drukuj Email
Wpisany przez rpc   
poniedziałek, 12 października 2009 06:45

Racoon czyli ipsec - VPN adresy statyczne szyfrowanie certyfikatem rsa x509 - openwrt 8.09.x , 10.03.x

 

Większość opisów tworzenia tunelu opiera się na OpenVPN. Dla odmiany postanowiłem opisać VPN utworzony za pomocą pakietu racoon czyli ipsec. Opisany sposób został przetestowany na routerze Linksys AG241v2-EU w jednym końcu tunelu w połączeniu z Debian Lenny na drugim końcu. Oba routery mają adresy IP statyczne czyli nie zmieniają się (Po przerobieniu chodzi też z adresami dynamicznymi patrz artykuł). Oba adresy MUSZĄ być adresami publicznymi. Nie będe w tym artykule opisywał instalacji w Debianie Racoon. Opis dotyczy tylko Openwrt ew. podam pliki konfiguracyjne po stronie Debiana.

Jeszcze jedno. Konfiguracji racoon nie można przeprowadzić poprzez narzędzie UCI. Większość rzeczy trzeba zrobić ręcznie.

27.07.2010: Konfiguracja zgodna z Backfire 10.03.x. Testowano na wr1043nd.

 

Założenia

Adres publiczny WAN IP Routera Debian Lenny                    : 218.97.26.22

Adres i maska sieci LAN Routera Debian Lenny                  : 192.168.1.0/24

Adres publiczny WAN IP Routera z Openwrt AG241              : 87.205.205.13

Adres i maska sieci LAN Routera z Openwrt AG241            : 10.0.0.0/24

 

(10.0.0.0/24)AG241(87.205.205.13) <=============> (218.97.26.22)Debian(192.168.1.0/24)

 

Szyfrowanie za pomocą certyfikatów RSA x509

 

Nazwa dns strony Debian: vpn.dyndns.org

Nazwa dns strony AG241 : iyy99.internetdsl.tpnet.pl

 

Instalacja

Musimy zainstalować Racoon oraz potrzebne moduły.

opkg install ipsec-tools kmod-crypto-aead kmod-crypto-aes kmod-crypto-authenc kmod-crypto-core kmod-crypto-des kmod-crypto-hmac kmod-crypto-md5 kmod-crypto-sha1 kmod-ipsec kmod-ipsec4

Od wersji Backfire nie ma modułu kmod-crypto-aead

musimy jeszcze utworzyć plik ładujący dodatkowe moduły w czasie startu systemu - są wymagane do poprawnej pracy- UWAGA !!! TYLKO w kamikadze 8.09.x

echo af_key >> /etc/modules.d/10-ipsec
echo ah4 >> /etc/modules.d/10-ipsec
echo esp4 >> /etc/modules.d/10-ipsec
echo xfrm_user >> /etc/modules.d/10-ipsec
echo xfrm4_mode_beet >> /etc/modules.d/10-ipsec
echo xfrm4_mode_transport >> /etc/modules.d/10-ipsec
echo xfrm4_mode_tunnel >> /etc/modules.d/10-ipsec
echo xfrm4_tunnel >> /etc/modules.d/10-ipsec

 

po załadowaniu modułów lsmod powinien wykazać:

xfrm_user              21664  0
tunnel4                 2608  2 xfrm4_tunnel
xfrm4_tunnel            1920  0
xfrm4_mode_tunnel       1952  2
xfrm4_mode_transport     1248  0
xfrm4_mode_beet         2208  0esp4                    6368  1
ah4                     4800  0
af_key                 33552  0
sha1_generic            2144  1
md5                     5024  0
hmac                    3776  1
des_generic            19296  1
authenc                 5280  1
aes_generic            29296  0
aead                    5440  2 esp4,authenc
deflate                 2560  0
ecb                     2336  0
cbc                     3168  1
crypto_blkcipher       15376  4 authenc,ecb,cbc
crypto_hash             3648  2 hmac,authenc
cryptomgr               2688  0
crypto_algapi          11616  12 sha1_generic,md5,hmac,des_generic,authenc,aes_generic,aead,deflate,ecb,cbc,crypto_blkcipher,cryptomgr

 

Konfiguracja racoon po stronie routera AG241 na openwrt

w katalogu /etc/racoon utwórz 4 pliki i 1 katalog

touch /etc/racoon/psk.txt

touch /etc/racoon/racoon.conf

touch /etc/racoon/setkey.conf

touch /etc/init.d/racoon

mkdir /etc/racoon/certs

 

oraz nadaj uprawnienia do wykonywania

chmod +x /etc/racoon/setkey.conf

chmod +x /etc/init.d/racoon

chmod 600 /etc/racoon/psk.txt

 

Zawartość pliku setkey.conf powinna wyglądać następująco:

#!/usr/sbin/setkey -f

flush;
spdflush;

#FPW
spdadd 10.0.0.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/87.205.205.13-218.97.26.22/require;

spdadd 192.168.1.0/24 10.0.0.0/24 any -P in ipsec
esp/tunnel/218.97.26.22-87.205.205.13/require;

 

Zawartość pliku racoon.conf powinna wyglądać następująco:

path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

log info;
listen
{
isakmp 87.205.205.13 [500];
}

remote 218.97.26.22 {
exchange_mode main;
doi ipsec_doi;
situation_identity_only;
lifetime time 28800 sec;
my_identifier asn1dn;
peers_identifier asn1dn;
certificate_type x509 "87.205.205.13_publickey.rsa" "87.205.205.13_privatekey.rsa";
peers_certfile x509 "218.97.26.22_publickey.rsa";
verify_cert on;

verify_identifier on;
passive off;
initial_contact on;
#       ike_frag=on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method rsasig;
dh_group 2;
}
generate_policy off;
}

sainfo anonymous {
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm aes,3des ;
authentication_algorithm hmac_sha1, hmac_md5  ;
compression_algorithm deflate;
}

 

 

Plik /etc/init.d/racoon winien zawierać:

#!/bin/sh /etc/rc.common

START=60

start() {
echo Uruchamiam tunel ipsec racoon...

if [ ! -e /var/racoon ]
then
mkdir /var/racoon
fi
setkey -f /etc/racoon/setkey.conf
racoon -f /etc/racoon/racoon.conf

}

stop() {
killall racoon
}

 

a następnie wykonać

/etc/init.d/racoon enable

/etc/init.d/racoon start

 

Generowanie certyfikatów RSA x509 na routerze AG241

Uwaga na routerze musi być zainstalowany pakiet openssl potrzebny tylko do wygenerowania certyfikatów. Można wygenerować certyfikaty na dowolnym komputerze z linuxem i przenieść je do routera do katalogu /etc/racoon/certs

 

Przechodzimy do katalogu /etc/racoon/certs

cd /etc/racoon/certs

i wywołujemy polecenie:

openssl req -new -nodes -newkey rsa:1024 -sha1 -keyform PEM -keyout 87.205.205.13_privatekey.rsa -outform PEM -out request.pem

 

Polecenie spowoduje konieczność odpowiedzi na parę pytań:


If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:PL
State or Province Name (full name) []:Mazowieckie
Locality Name (eg, city) []:Warszawa
Organization Name (eg, company) []:Firma1
Organizational Unit Name (eg, section) []:Firma1
Common Name (eg, YOUR name) []:iyy99.internetdsl.tpnet.pl
Email Address []:adres@onet.pl

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


Od ciebie zależy ile z informacji podasz i w jaki sposób je podasz. Może to zależeć od twoich oczekiwań związanych z bezpieczeństwem. W powyższym przykładzie podaliśmy większość informacji.

 

Teraz sami `podpiszemy' swoją prośbę (Zada 2 pytania czy dodac certyfikat i podpisać na oba odpowiadamy "y"):

openssl x509 -req -in request.pem -signkey 87.205.205.13_privatekey.rsa -out 87.205.205.13_publickey.rsa

Plik request.pem można teraz usunąć.

 

Plik 87.205.205.13_publickey.rsa kopiujemy do katalogu /etc/racoon/certs na routerze z Debian

 

Konfiguracja firewalla po stronie routera AG241 na openwrt

zawartość pliku /etc/config/firewall powinniśmy uzupełnić o następujące wpisy:

config rule
option src              wan
option proto            esp
option target           ACCEPT

config rule
option src              wan
option proto            ah
option target           ACCEPT

config rule
option src              wan
option proto            ipcomp
option target           ACCEPT

config rule
option dest_port        500
option proto            udp
option target           ACCEPT

config rule
option dest_port        4500
option proto            udp
option target           ACCEPT


config include
option path /etc/firewall.user

 

Reszta konfiguracji firewall w pliku /etc/firewall.user powinna wyglądać następująco:

#regulki dla ipsec
#...................................................
iptables -I forwarding_rule --dst 192.168.1.0/24 -j ACCEPT
iptables -t nat -I postrouting_rule -s 10.0.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t nat -I postrouting_rule -p ipcomp -j ACCEPT
iptables -t nat -I postrouting_rule -p ah -j ACCEPT
iptables -t nat -I postrouting_rule -p esp -j ACCEPT


Jeśli chcemy dopuści cały z LAN Debian do LAN AG241 ruch musimy dopisać jeszcze jedną regułkę zamiast linii wykropkowanej powyżej

iptables -I forwarding_rule --src 192.168.1.0/24 -j ACCEPT

lub tylko port np.

iptables -I forwarding_rule -p tcp --src 192.168.1.0/24 --dport 5900 -j ACCEPT

oczywiście to można zmienić wedla własnego uznania.

 

Uruchomienie vpn po stronie routera AG241 na openwrt

Jeśli wszystko zrobiłeś poprawnie jak pingniesz adres z drugiegej strony tunelu łącze się zestawi. Demon racoon pojawi się w bierzących procesach "ps ax".

 

Jeśli są jakieś problemy to można analizować uruchomienie poprzez:

1. ręcznie uruchom plik ./etc/racoon/setkey.conf

2. uruchom racoon jako proces nie demon: racoon -F -f /etc/racoon/racoon.conf ew. więcej informacji uzyskasz uruchamiając:

racoon -F -v -f /etc/racoon/racoon.conf

 

UWAGA !!! ERRATA

W Backfire ostatnich wydania jest błąd który winien zostać poprawiony. Niestety developerzy tak przerobili firewalla że nie da się w żaden sposób wstawić na początek głównych łańcuchów własnych reguł iptables. Jeśli masz problemy z nawiązaniem połączenia zerknij koniecznie na reguły firewalla

iptables -t nat -L -v

w szczególności łańcuchów POSTROUTING. Nasze reguły dodane do firewalla MUSZĄ być przed łańcuchami

zone_lan_nat
zone_wan_nat

inaczej nie będzie poprawnie działał tunel

Czyli jeśli masz np. taką kolejność

Chain POSTROUTING (policy ACCEPT 246 packets, 18433 bytes)
pkts bytes target     prot opt in     out     source               destination
854 61486 zone_wan_nat  all  --  any    eth0.2  anywhere             anywhere
1    84 zone_lan_nat  all  --  any    br-lan  anywhere             anywhere
246 18433 postrouting_rule  all  --  any    any     anywhere             anywhere

to nie będą działać wpisy w postrouting_rule. Nawet jak dodasz reguły w /etc/firewall.user do głównego łańcucha POSTROUTING to przynajmniej na dzień dzisiejszy reguły zostaną dodane za łańcuchami zone_lan_nat i zone_wan_nat

Jedynym rozwiązaniem jest przeniesienie naszych reguł do skryptu uruchamiającego firewall /etc/init.d/racoon

Czyli usuwamy nasze wpisy z pliky /etc/firewall.user i wstawiamy je np. tak jak poniżej:

Plik /etc/init.d/racoon winien zawierać:


#!/bin/sh /etc/rc.common

START=98

start() {
echo Uruchamiam tunel ipsec racoon...

if [ ! -e /var/racoon ]
then
mkdir /var/racoon
fi
setkey -f /etc/racoon/setkey.conf
racoon -f /etc/racoon/racoon.conf

#regulki dla ipsec
#...................................................
iptables -I forwarding_rule --dst 192.168.1.0/24 -j ACCEPT
iptables -t nat -I postrouting_rule -s 10.0.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t nat -I postrouting_rule -p ipcomp -j ACCEPT
iptables -t nat -I postrouting_rule -p ah -j ACCEPT
iptables -t nat -I postrouting_rule -p esp -j ACCEPT

}

stop() {
killall racoon

#regulki dla ipsec
#...................................................
iptables -D forwarding_rule --dst 192.168.1.0/24 -j ACCEPT
iptables -t nat -D postrouting_rule -s 10.0.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t nat -D postrouting_rule -p ipcomp -j ACCEPT
iptables -t nat -D postrouting_rule -p ah -j ACCEPT
iptables -t nat -D postrouting_rule -p esp -j ACCEPT

}

 

Alternatywą w/w zmian jest uaktualnienie pakietu firewall do najnowszej wersji

opkg install http://ecco.selfip.net/backfire/packages/firewall_2-21_all.ipk

po wgraniu w/w aktualizacji reguły spokojnie mogą zostać jak w oryginalnym opisie.

 

Pliki konfiguracyjne po stronie Debian Lenny:

zawartość pliku /etc/ipsec-tools.conf powinniśmy uzupełnić o następujące wpisy:

#!/usr/sbin/setkey -f

## Flush the SAD and SPD
#
# flush;
# spdflush;

## Some sample SPDs for use racoon
#

spdadd 192.168.10.0/24 10.0.0.0/24 any -P out ipsec
esp/tunnel/218.97.26.22
-87.205.205.13/require;

spdadd 10.0.0.0/24 192.168.10.0/24 any -P in ipsec
esp/tunnel/87.205.205.13
-218.97.26.22/require;

 

zawartość pliku /etc/racoon/racoon.conf powinniśmy uzupełnić o następujące wpisy:


path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

log info;
listen
{
isakmp 218.97.26.22
[500];
}


remote 87.205.205.13 {
exchange_mode main;
doi ipsec_doi;
situation_identity_only;
lifetime time 28800 sec;
my_identifier asn1dn;
peers_identifier asn1dn;
certificate_type x509 "218.97.26.22_publickey.rsa" "218.97.26.22_privatekey.rsa";
peers_certfile x509 "87.205.205.13_publickey.rsa";
verify_cert on;

verify_identifier on;
passive on;
initial_contact off;
#       ike_frag=on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method rsasig;
dh_group 2;
}
generate_policy off;
}


sainfo anonymous {
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm aes,3des ;
authentication_algorithm hmac_sha1 ,hmac_md5 ;
compression_algorithm deflate;
}

 

Generowanie Kluczy plain RSA po stronie routera Debian

Przechodzimy do katalogu /etc/racoon/certs

cd /etc/racoon/certs

i wywołujemy polecenie:

openssl req -new -nodes -newkey rsa:1024 -sha1 -keyform PEM -keyout 218.97.26.22 _privatekey.rsa -outform PEM -out request.pem

 

Polecenie spowoduje konieczność odpowiedzi na parę pytań:


If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:PL
State or Province Name (full name) []:Mazowieckie
Locality Name (eg, city) []:Warszawa
Organization Name (eg, company) []:Firma2
Organizational Unit Name (eg, section) []:Firma2
Common Name (eg, YOUR name) []:ivpn.dyndns.org
Email Address []:adres2@onet.pl

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


Od ciebie zależy ile z informacji podasz i w jaki sposób je podasz. Może to zależeć od twoich oczekiwań związanych z bezpieczeństwem. W powyższym przykładzie podaliśmy większość informacji.

 

Teraz sami `podpiszemy' swoją prośbę (Zada 2 pytania czy dodac certyfikat i podpisać na oba odpowiadamy "y"):

openssl x509 -req -in request.pem -signkey 218.97.26.22 _privatekey.rsa -out 218.97.26.22 _publickey.rsa

Plik request.pem można teraz usunąć.

 

Plik 218.97.26.22 _publickey.rsa kopiujemy do katalogu /etc/racoon/certs do routera AG241-EU

 

Musimy jeszcze pamiętać o firewallu:

#negowanie na INPUT vpn ikea oraz ogolnie vpn zezwolenie
/sbin/iptables -A INPUT -p udp --dport 500 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -p esp -j ACCEPT
/sbin/iptables -A INPUT -p ah -j ACCEPT
/sbin/iptables -A INPUT -p ipcomp -j ACCEPT

 

#..............................................................

/sbin/iptables -A FORWARD --src 192.168.1.0/24 --dst 10.0.0.0/24 -j ACCEPT


/sbin/iptables -t nat -A POSTROUTING -p esp -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -p ah -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -p ipcomp -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 10.0.0.0/24  -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

gdzie eth0 jest interfejsem WAN o adresie 218.97.26.22 .

Koniecznie wpisy w POSTROUTING muszą być przed MASQUERADE.

 

Jeśli chcemy dopuści cały z LAN AG241 do LAN w Debianie ruch musimy dopisać jeszcze jedną regułkę zamiast linii wykropkowanej powyżej

/sbin/iptables -A FORWARD --src 10.0.0.0/24 -j ACCEPT

lub tylko port np.

/sbin/iptables -A FORWARD -p tcp --src 10.0.0.0/24 --dport 5900 -j ACCEPT

 

Reszty należy szukać w odpowiednich HOWTO iptablesa, racoon, ipsec, itp.

 

jakby były jakieś problemy z certyfikatami obejrzyj sobie jak powinny wyglądać certyfikaty punkt.9 mojego opisu.

 

Ps. Jeśli chciałbyś przekompilować openwrt np. do wersji 8.09 to poniższe pozycje są potrzebne do działania VPN:

Network->ipsec-tools

Kernel modules -> Network support->kmod-gre

Kernel modules -> Network support->kmod-ipsec

Kernel modules -> Network support->kmod-ipsec4

Kernel modules -> Network support->kmod-iptunnel4

Kernel modules -> Netfilter extensions->kmod-ipt-ipsec

Kernel modules->Cryptographics API modules->kmod-crypto-aes

Kernel modules->Cryptographics API modules->kmod-crypto-authenc

Kernel modules->Cryptographics API modules->kmod-crypto-aead

Kernel modules->Cryptographics API modules->kmod-crypto-core

Kernel modules->Cryptographics API modules->kmod-crypto-des

Kernel modules->Cryptographics API modules->kmod-crypto-hmac

Kernel modules->Cryptographics API modules->kmod-crypto-md5

Kernel modules->Cryptographics API modules->kmod-crypto-sha1

 



 

Ps.

Oczywiście możemy sobie wygenerować certyfikaty skryptem perlowym na linuxie /usr/lib/ssl/misc/CA.pl

CA.pl -newreq-nodes

CA.pl -sign

 

mając uprzednio zaufany główny urząd certyfikacji

CA.pl -newca

 

Ps2.

Jeśli chcemy mieć weryfikację certyfikatów poprzez listy crl (zakładam że CA już masz) wykonujemy w katalogu

/usr/lib/ssl/misc

openssl ca -gencrl -out demoCA/crl/crl.pem
openssl crl -in demoCA/crl/crl.pem -outform der -out demoCA/crl/cert.crl

oraz ca to musimy zrobić linki symboliczne z utworzonych plików do :

# ln -s /usr/lib/ssl/misc/demoCA/crl/crl.pem `openssl x509 -hash -noout -in /usr/lib/ssl/misc/demoCA/cacert.pem`.r0
#ln -s /usr/lib/ssl/misc/demoCA/cacert.pem `openssl x509 -hash -noout -in /usr/lib/ssl/misc/demoCA/cacert.pem`.0

 

Mozna jeszcze dopisać

do pliku racoon.conf

ca_type x509 "cacert.pem";

 

Jeśli chcesz poczytać o generowaniu pod linuxem certyfikatu wejdź tu.

 

Ps3.

Można włączyć szczegółową werifikację certyfikatu własnego jak i zdalnego patrz linia:

my_identifier asn1dn;
peers_identifier asn1dn;

verify_cert on;
verify_identifier on;

Możemy linę dotyczacą komputera zdalnego napisac np. następująco:

my_identifier asn1dn "C=PL, ST=Mazowieckie, O=Firma Sp. z o.o., OU=Firma, CN=*/emailAddress=*";

to jak w/w wiersz wygląda podejrzysz sobie w certyfikacie sekcje Subject

np. wygenerowany plik newcert.pem może wyglądać następująco:

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=PL, ST=Mazowieckie, O=Firma1 Sp. z o.o., OU=Firma1, CN=Firma1 Sp. z o.o. ROOT CA/emailAddress=adres_mail@vpn.dyndns.org
Validity
Not Before: Nov  3 10:22:59 2009 GMT
Not After : Nov  2 10:22:59 2014 GMT
Subject: C=PL, ST=Mazowieckie, L=Warszawa, O=Firma1 Sp. z o.o., OU=Firma1, CN=l2tp.vpn.dyndns.org/emailAddress=adres_mail@vpn.dyndns.org
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:c4:74:b2:cd:3b:0d:97:78:2b:3c:29:05:da:e4:
c1:4c:a5:4b:16:76:94:23:61:2a:68:61:8b:fa:f9:
39:14:45:8b:8d:d7:4a:55:29:8c:51:98:0a:66:fe:
c2:e2:2a:5a:2d:10:97:2c:9d:ba:52:54:08:19:84:
8f:e2:1f:38:d4:1b:26:20:ca:66:36:27:8b:d6:53:
27:2d:a5:7c:c3:51:e6:2e:3d:60:85:90:2d:b7:5c:
2f:91:8c:a4:c1:03:42:83:01:5a:1c:9b:af:3a:dc:
30:bf:6c:e8:86:ed:5c:56:45:2e:90:29:35:12:f2:
cb:f7:37:a1:e2:75:02:c4:85
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
12:8F:5A:49:98:3B:7D:35:4D:D1:F4:EB:08:4D:FB:5D:45:D8:40:F2
X509v3 Authority Key Identifier:
keyid:DA:E6:3C:61:34:71:A1:AE:06:FD:08:25:41:96:1D:94:15:78:E7:7F
DirName:/C=PL/ST=Mazowieckie/O=Firma1 Sp. z o.o./OU=Firma1/CN=Firma1 Sp. z o.o. ROOT CA/emailAddress=adres_mail@vpn.dyndns.org
serial:00

Signature Algorithm: sha1WithRSAEncryption
9c:00:60:59:dc:bb:7a:cb:1b:05:d9:b8:28:d3:55:eb:8c:49:
9f:7e:1d:29:39:6f:f8:fd:4f:58:df:a0:98:9a:a9:27:58:1b:
22:f6:70:d7:30:03:84:04:7e:f3:b5:7d:7e:2c:6b:aa:25:84:
5d:a1:ca:f0:70:12:1a:dd:3d:dc:8f:17:e7:ee:61:d7:b4:83:
16:25:5b:6a:7c:42:98:6a:98:ae:ba:fe:e3:9c:7f:e8:53:ff:
6c:9c:3a:12:16:2d:e4:4f:8d:75:af:a3:d3:93:c5:81:9b:4c:
40:a4:a1:41:24:f6:e1:16:dd:29:6d:74:68:1e:ef:6e:ae:c0:
d2:b6
-----BEGIN CERTIFICATE-----
MIIEADCCA2mgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBnjELMAkGA1UEBhMCUEwx
FDASBgNVBAgTC01hem93aWVja2llMRowGAYDVQQKExFGaXJtYTEgU3AuIHogby5v
LjEPMA0GA1UECxMGRmlybWExMSIwIAYDVQQDExlGaXJtYTEgU3AuIHogby5vLiBS
T09UIENBMSgwJgYJKoZIhvcNAQkBFhlhZHJlc19tYWlsQHZwbi5keW5kbnMub3Jn
MB4XDTA5MTEwMzEwMjI1OVoXDTE0MTEwMjEwMjI1OVowgasxCzAJBgNVBAYTAlBM
MRQwEgYDVQQIEwtNYXpvd2llY2tpZTERMA8GA1UEBxMIV2Fyc3phd2ExGjAYBgNV
BAoTEUZpcm1hMSBTcC4geiBvLm8uMQ8wDQYDVQQLEwZGaXJtYTExHDAaBgNVBAMT
E2wydHAudnBuLmR5bmRucy5vcmcxKDAmBgkqhkiG9w0BCQEWGWFkcmVzX21haWxA
dnBuLmR5bmRucy5vcmcwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMR0ss07
DZd4KzwpBdrkwUylSxZ2lCNhKmhhi/r5ORRFi43XSlUpjFGYCmb+wuIqWi0Qlyyd
ulJUCBmEj+IfONQbJiDKZjYni9ZTJy2lfMNR5i49YIWQLbdcL5GMpMEDQoMBWhyb
rzrcML9s6IbtXFZFLpApNRLyy/c3oeJ1AsSFAgMBAAGjggE9MIIBOTAJBgNVHRME
AjAAMBEGCWCGSAGG+EIBAQQEAwIFoDAsBglghkgBhvhCAQ0EHxYdT3BlblNTTCBH
ZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFBKPWkmYO301TdH06whN+11F
2EDyMIHLBgNVHSMEgcMwgcCAFNrmPGE0caGuBv0IJUGWHZQVeOd/oYGkpIGhMIGe
MQswCQYDVQQGEwJQTDEUMBIGA1UECBMLTWF6b3dpZWNraWUxGjAYBgNVBAoTEUZp
cm1hMSBTcC4geiBvLm8uMQ8wDQYDVQQLEwZGaXJtYTExIjAgBgNVBAMTGUZpcm1h
MSBTcC4geiBvLm8uIFJPT1QgQ0ExKDAmBgkqhkiG9w0BCQEWGWFkcmVzX21haWxA
dnBuLmR5bmRucy5vcmeCAQAwDQYJKoZIhvcNAQEFBQADgYEAnABgWdy7essbBdm4
KNNV64xJn34dKTlv+P1PWN+gmJqpJ1gbIvZw1zADhAR+87V9fixrqiWEXaHK8HAS
Gt093I8X5+5h17SDFiVbanxCmGqYrrr+45x/6FP/bJw6EhYt5E+Nda+j05PFgZtM
QKShQST24RbdKW10aB7vbq7A0rY=
-----END CERTIFICATE-----

 

wtedy wiersz powienien wyglądac następująco:

my_identifier asn1dn "C=PL, ST=Mazowieckie, L=Warszawa, O=Firma1 Sp. z o.o., OU=Firma1, CN=*/emailAddress=*";

Jak widzisz wszystko zależy od certyfikatu jak został wygenerowany. Jeśli chcemy mieć kontrolę certyfikatu na to też należy zwrócić uwagę.

Jeżeli ustawisz ten łańcuch źle możesz mieć w logach komunikaty w stylu:

WARNING: No ID Match.

ERROR: Invalid ID Payload.

Tunel się nie zestawi.

 

To jest tylko podpowiedź. Resztę musisz doczytać sam.



Podziel się tą informacja z innymi:
Poprawiony: piątek, 18 lutego 2011 17:39