Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication

Discussion in 'Dienste - Fragen & Antworten (Q&A)' started by pwniii, Jul 11, 2018.

  1. p

    pwniii New Member

    Hi,

    bei der Keyerneuerung habe ich unter Debian 9 mit OpenVPN 2.4.0 folgendes reproduzierbar im Log:

    us=339976 ++ Certificate has key usage 00a0, expects 00a0
    us=339986 VERIFY KU OK
    us=339998 Validating certificate extended key usage
    us=340008 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
    us=340018 VERIFY EKU OK

    Auf anderen Linuxsystemen habe ich das nicht. Der Support konnte leider keine Erklärung liefern und ich finde per google auch nichts. Kann mir jemand erklären was da schief läuft und ob die Verbindung damit noch sicher ist? Routing sieht normal aus.
     
  2. PP Lars

    PP Lars Staff Member

    Openvpn hat in 2.4 die option "ns-cert-type" deprecated und gegen "remote-cert-tls" ersetzt.
    D.h. die Zertifikate brauchen jetzt "extended key usage" flags für " TLS Web Server Authentication"
    Die Meldung sieht so aus wie eine information da drüber das das auch so verwendet wird.
    Da die Meldung ja anscheinend auftaucht ohne das du groß debug krams eingeschaltet hast würde ich vermuten das OpenVPN da unnötigen debug output produziert. Vermutlich hat da ein Entwickler den output drin gelassen weil die option noch neu ist.

    https://community.openvpn.net/openvpn/wiki/DeprecatedOptions#a--ns-cert-type


    Grüße
    Lars