LCOS-Update 10.80 bricht u. U. zertifikatsbasierte VPN-Zugänge

[Hagen2000]

Nach der Installation von LCOS 10.80 funktionierte ein Teil unserer VPN-Zugänge nicht mehr. Betroffen waren die zertifikatsbasierten IPSec-Zugänge für iOS und macOS.

Historisch enthalten unsere CA und die Zertifikate für die VPN-Zugänge auch eine E-Mail-Adresse als Teil des Distinguished Names (DN). Diese wurde bislang als Relative Distinguished Name (RDN) mit dem Attribut "E" (also E=client@example.com) als Identität unter ASN.1-Distunguished-Name der Gegenstelle mit eingetragen.
Offenbar ist diese Abkürzung nicht mehr zulässig, statt dessen muss "emailAddress" als Attribut benutzt werden.

Leider findet sich in den Release Notes zu LCOS 10.80 kein Hinweis auf diese Änderung, die Fehlersuche gestaltete sich entsprechend zeitaufwändig.

[rotwang]

Das muss gar keine Änderung im LCOS selber gewesen sein. Mit LCOS 10.80 wurde der Umstieg von OpenSSL 1.1 auf 3.0 vollzogen, zwischen den beiden Versionen hat sich diverses geändert, was man als Nutzer einer Library auch nicht immer alles auf dem Schirm hat.

[Hagen2000]

Vielen Dank für die Erläuterung. Das hört sich plausibel an, denn so sieht die Fehlermeldung im LANtracer aus:

Code: Alles auswählen

OpenSSL: 00000095:error:04000067:object identifier routines:OBJ_txt2obj:unknown object name:crypto/objects/obj_dat.c:376:
00000095:error:05800077:x509 certificate routines:X509_NAME_ENTRY_create_by_txt:invalid field name:crypto/x509/x509name.c:252:name=E

Vielleicht stolpert ja noch jemand über dieses Problem und dieser Beitrag hilft, die Fehlersuche zu verkürzen.