Добрый день.
Стоял и работал 951G с sstp vpn server и понадобилось его поменять на ac^2. Всё перенес, всё работает, кроме sstp :( Переносил сертификаты через выгрузку в p12 и import. Но sstp не заработал, т.к. сертификат сервера не видит корня. Если посмотреть на импортированные, то видно, что сертификат сервера не видит корня. Подскажите, что я сделал не так? Как именно надо импортировать сертификаты, чтобы цепочка была правильной? Импорт производился сначала корень, потом сервер. Уже много чего погуглил, и перепробовал - так и не понимаю что не так...
правильный перенос сертификатов sstp
-
- Сообщения: 167
- Зарегистрирован: 17 апр 2014, 10:44
по пробуйте в формате pem выгрузить с указанием пароля и потом импортировать 2 сертификата
-
- Сообщения: 4
- Зарегистрирован: 27 окт 2022, 11:18
уже и pem и crt+key и по всякому - та же самая ошибка :(svetogor82 писал(а): ↑28 окт 2022, 07:52 по пробуйте в формате pem выгрузить с указанием пароля и потом импортировать 2 сертификата
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
А какая версия ROS? Что-то есть предположение, что корневой самоподписной сертификат теперь привязан к железу. Хотя я не уверен...
-
- Сообщения: 4
- Зарегистрирован: 27 окт 2022, 11:18
-
- Сообщения: 95
- Зарегистрирован: 21 сен 2012, 00:32
Не понял, а при чем тут корневой сертификат?
На Микротике нужен сертификат с именем/адресом самого Микротика, выданный CA. И этот сертификат сервера переносится без каких-либо вопросов.
Т.е. сам сертификат CA на VPN сервере не требуется.
Корневой сертификат надо а Trusted Root на самом клиенте добавить.
На Микротике нужен сертификат с именем/адресом самого Микротика, выданный CA. И этот сертификат сервера переносится без каких-либо вопросов.
Т.е. сам сертификат CA на VPN сервере не требуется.
Корневой сертификат надо а Trusted Root на самом клиенте добавить.
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
А разве без действующего корневого сертификата серверный сертификат будет действителен? И сервер запустится?
Нужна же вся цепочка, разве нет?
Нужна же вся цепочка, разве нет?
-
- Сообщения: 4
- Зарегистрирован: 27 окт 2022, 11:18
да, именно так..
поэтому вернул железку и на будущее понял, что если железка померла/заменена, то все сертификаты надо перевыпускать и перенастраивать компы пользователей. Проще уж вненюю сертификацию завести :(