OpenVPN AS (openvpn.net) 以 VMware ESXi 虚拟设备的形式设置。设置工作正常。使用自签名证书。OpenVPN 服务器正在监听公共路由 IP。我能够使用 OpenVPN 1.7.2 客户端从远程 Windows 7 SP1 64 位计算机访问 OpenVPN 服务器并顺利连接到 VPN。
在 Windows Server 2008 SP1 64 位上运行相同的客户端,我可以调出 OpenVPN 登录屏幕,但无法实际连接到 VPN。错误消息是:
意外错误:untrusted_cert X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN
根据文档,此错误的更深入的解释是:
证书链中存在自签名证书。可以使用不受信任的证书构建证书链,但在本地找不到根 CA。
无奈之下,我从 Server 2008 计算机上的 Firefox 导出了自签名证书,并将其添加到 MMC -> 证书 -> 受信任的根证书颁发机构 -> 证书。我在其他地方读到,人们可以通过这种方式修复类似(但不完全相同!)的错误。但这没有用。
最大的问题是我不明白错误消息。未签名证书的根 CA 是什么?我在哪里/如何添加它?我认为这可以解决我的问题?
提前感谢您的时间和考虑。
答案1
服务器可能有更严格的检查证书有效性的设置。
如果双击 certificate.crt 文件,它将打开一个名为“证书”的窗口,其中包含 3 个选项卡。单击第 3 个选项卡“证书路径”。希望证书路径中列出了多个证书。如果没有,请告诉我们。
如果至少有 2 个证书,则单击最上面的证书,然后单击查看证书按钮。这是在查看根 CA 的证书。单击详细信息选项卡,然后单击复制到文件。单击下一步,然后您可以将其保留为 DER 编码的默认格式。完成它,它应该是不言自明的。然后双击该文件并安装证书,允许它自动选择证书存储,然后完成。
关闭所有 IE 实例并重试。希望这会有所帮助。如果没有帮助,请告诉我们。
关于您的最后一个问题:当它说“未签名证书”时,它实际上意味着它不是由受信任的 CA 签名的。这取决于您在哪里/如何生成证书。有些系统有系统证书,并且很可能已经使用了它。否则,有些证书确实是“自签名的”,没有根 CA。这里可能是这种情况,但您会从上面发现这一点。
答案2
问题解决了。我没有正确观察 MMC -> 证书 -> 受信任的根证书颁发机构 -> 证书下列出的证书。在我手动添加证书之前,里面就已经有一个额外的 OpenVPN 证书了。
关键是,在我手动添加一个之后,该类别中实际上有三个 (3!) OpenVPN 相关证书。我删除了所有 3 个。我卸载了 OpenVPN 客户端,然后通过 https 重新连接到 OpenVPN 服务器,重新下载了客户端和配置文件,一切正常。