4b42 Logo

Wissensdatenbank

Benutzerbild
23 Mai 2015
3.719

MikroTik OpenVPN (unable to get local issuer certificate)

Inhaltsverzeichnis

Problem


Ich habe vor einigen Tagen den Snapshot einer virtuellen Maschine wiederhergestellt, danach musste ich den OpenVPN auf dem Linux Debian Jessie System neu installieren und die Zertifikate neu ausstellen. Ich habe die Client Zertifikate heruntergeladen und in meinen MikroTik Router importiert. Im Interface des OpenVPN Clients habe ich das neue Zertifikat ausgewählt. Allerdings konnte der Client keine Verbindung herstellen:
May 23 18:51:47 scratch ovpn-mikrotik[4460]: TCP connection established with [AF_INET]48.42.48.42:56051
May 23 18:51:47 scratch ovpn-mikrotik[4460]: 48.42.48.42:56051 TLS: Initial packet from [AF_INET]48.42.48.42:56051, sid=2175f36d cd1e0e9e
May 23 18:51:49 scratch ovpn-mikrotik[4460]: 48.42.48.42:56051 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: C=EU, CN=4b42
May 23 18:51:49 scratch ovpn-mikrotik[4460]: 48.42.48.42:56051 TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
May 23 18:51:49 scratch ovpn-mikrotik[4460]: 48.42.48.42:56051 TLS Error: TLS object -> incoming plaintext read error
May 23 18:51:49 scratch ovpn-mikrotik[4460]: 48.42.48.42:56051 TLS Error: TLS handshake failed
May 23 18:51:49 scratch ovpn-mikrotik[4460]: 48.42.48.42:56051 Fatal TLS error (check_tls_errors_co), restarting
May 23 18:51:49 scratch ovpn-mikrotik[4460]: 48.42.48.42:56051 SIGUSR1[soft,tls-error] received, client-instance restarting


Analyse


Der Fehler
unable to get local issuer certificate: C=EU, CN=4b42
besagt eindeutig das, dass Client Zertifikat nicht gefunden werden kann. Ich habe dann Testweise ein Zertifikat mit einem anderen Namen erstellt, importiert und im Interface zugewiesen der selbe Fehler. Ich habe dann erneut den Snapshot wiederhergestellt, im MikroTik das Zertifikat und das Interface entfernt, den OpenVPN Server erneut installiert, die Client-Zertifikate ausgestellt, heruntergeladen und importiert. Leider mit dem selben Ergebnis.

Lösung


Da in den Log-Dateien ein falscher Zertifikatsname angezeigt wird, habe ich mir gesagt, das es an dem Client liegen könnte und der Router dieses irgendwo zwischenspeichert, deshalb habe ich das System neugestartet und danach konnte der MikroTik Router die Verbindung herstellen.