我需要设置一个新的 OpenVPN 通道,但我已经有 Windows CA,所以我需要使用此 CA 签署服务器和客户端证书。
我创建了一个新的服务器和客户端签名请求:
openssl req -newkey rsa:2048 -keyout client.key -nodes -out client.req -subj "/CN=x/O=x/C=x/ST=x/L=x"
我使用“Web 服务器”模板通过 Microsoft Active Directory 证书服务对它们进行了签名。
现在 OpenVPN 给了我这个错误:
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 TLS Error: TLS handshake failed
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 TLS Error: TLS object -> incoming plaintext read error
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 TLS_ERROR: BIO read tls_read_plaintext error
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Feb 5 16:30:42 openvpn 28624 x.x.x.x:28681 VERIFY ERROR: depth=0, error=unsupported certificate purpose: C=IT, ST=x, L=x, O=x, CN=x
客户端证书似乎不太好,可能是因为所选的证书模板。我应该从 Windows CA 中选择哪一个?我需要在请求中维护 CN。