Nach der Installation von LCOS 10.80 funktionierte ein Teil unserer VPN-Zugänge nicht mehr. Betroffen waren die zertifikatsbasierten IPSec-Zugänge für iOS und macOS.
Historisch enthalten unsere CA und die Zertifikate für die VPN-Zugänge auch eine E-Mail-Adresse als Teil des Distinguished Names (DN). Diese wurde bislang als Relative Distinguished Name (RDN) mit dem Attribut "E" (also E=client@example.com) als Identität unter ASN.1-Distunguished-Name der Gegenstelle mit eingetragen.
Offenbar ist diese Abkürzung nicht mehr zulässig, statt dessen muss "emailAddress" als Attribut benutzt werden.
Leider findet sich in den Release Notes zu LCOS 10.80 kein Hinweis auf diese Änderung, die Fehlersuche gestaltete sich entsprechend zeitaufwändig.
LCOS-Update 10.80 bricht u. U. zertifikatsbasierte VPN-Zugänge
Moderator: Lancom-Systems Moderatoren
LCOS-Update 10.80 bricht u. U. zertifikatsbasierte VPN-Zugänge
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen
Re: LCOS-Update 10.80 bricht u. U. zertifikatsbasierte VPN-Zugänge
Das muss gar keine Änderung im LCOS selber gewesen sein. Mit LCOS 10.80 wurde der Umstieg von OpenSSL 1.1 auf 3.0 vollzogen, zwischen den beiden Versionen hat sich diverses geändert, was man als Nutzer einer Library auch nicht immer alles auf dem Schirm hat.
Re: LCOS-Update 10.80 bricht u. U. zertifikatsbasierte VPN-Zugänge
Vielen Dank für die Erläuterung. Das hört sich plausibel an, denn so sieht die Fehlermeldung im LANtracer aus:
Vielleicht stolpert ja noch jemand über dieses Problem und dieser Beitrag hilft, die Fehlersuche zu verkürzen.
Code: Alles auswählen
OpenSSL: 00000095:error:04000067:object identifier routines:OBJ_txt2obj:unknown object name:crypto/objects/obj_dat.c:376:
00000095:error:05800077:x509 certificate routines:X509_NAME_ENTRY_create_by_txt:invalid field name:crypto/x509/x509name.c:252:name=E
LANCOM 1781VA mit All-IP-Option, LANCOM 1784VA
Hagen
Hagen