Beantwortet: Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication

[pwniii]

Hi,

bei der Keyerneuerung habe ich unter Debian 9 mit OpenVPN 2.4.0 folgendes reproduzierbar im Log:

us=339976 ++ Certificate has key usage 00a0, expects 00a0
us=339986 VERIFY KU OK
us=339998 Validating certificate extended key usage
us=340008 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
us=340018 VERIFY EKU OK

Auf anderen Linuxsystemen habe ich das nicht. Der Support konnte leider keine Erklärung liefern und ich finde per google auch nichts. Kann mir jemand erklären was da schief läuft und ob die Verbindung damit noch sicher ist? Routing sieht normal aus.

 

[PP Lars]

Openvpn hat in 2.4 die option "ns-cert-type" deprecated und gegen "remote-cert-tls" ersetzt.
D.h. die Zertifikate brauchen jetzt "extended key usage" flags für " TLS Web Server Authentication"
Die Meldung sieht so aus wie eine information da drüber das das auch so verwendet wird.
Da die Meldung ja anscheinend auftaucht ohne das du groß debug krams eingeschaltet hast würde ich vermuten das OpenVPN da unnötigen debug output produziert. Vermutlich hat da ein Entwickler den output drin gelassen weil die option noch neu ist.

https://community.openvpn.net/openvpn/wiki/DeprecatedOptions#a--ns-cert-type


Grüße
Lars