08.06.2018 12:47, Konstantin Lepikhov пишет:
Hi Vladimir!
On 06/08/2018, at 11:47:22 AM you wrote:
Добрый день!
08.06.2018 9:59, Nikolay A. Fetisov пишет:
В Пт, 08/06/2018 в 08:12 +0300, Vladimir Karpinsky пишет:
....у меня теперь вылезает:
VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak:
C=RU, ...
OpenSSL: error:1416F086:SSL
routines:tls_process_server_certificate:certificate verify failed
...
А все сертификаты изменены? И CA перегенерирована? И сертификат CA
установлен?
А, что CA и, как следствие, все остальные сертификаты узлов сети тоже надо
перегенерировать? А как это лучше сделать для тех клиентов, которые только
через VPN доступны и до которых не добраться лично?
голубиной почтой послать им base64 нового CA. Иначе никак, у вас же
сертификаты подписаны старым CA а вы его поменяли.
Пока ещё не поменял (на компьютере, где новая версия, вписал в конфиг
tls-cipher "DEFAULT:@SECLEVEL=0") -- думаю, как всё организовать, чтобы не
скакать в разные концы на сотни километров. Можно ли как-то устроить
"переходный период" чтобы работало и старое, и новое?
--
С уважением,
Владимир.
_______________________________________________
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins