2 Certificate problems

OpenSSL used with CRLs and for some CA in the certificate chain its CRL is not included in TLSCRLFile

In TLS server log in case of OpenSSL peer:

failed to accept an incoming connection: from 127.0.0.1: TLS handshake with 127.0.0.1 returned error code 1: \
           file s3_srvr.c line 3251: error:14089086: SSL routines:ssl3_get_client_certificate:certificate verify failed: \
           TLS write fatal alert "unknown CA"

In TLS server log in case of GnuTLS peer:

failed to accept an incoming connection: from 127.0.0.1: TLS handshake with 127.0.0.1 returned error code 1: \
           file rsa_pk1.c line 103: error:0407006A: rsa routines:RSA_padding_check_PKCS1_type_1:\
           block type is not 01 file rsa_eay.c line 705: error:04067072: rsa routines:RSA_EAY_PUBLIC_DECRYPT:paddin

CRL is verlopen of verloopt tijdens de werking van de server

OpenSSL, in serverlog:

  • Vóór de vervaldatum:
Kan geen verbinding maken met proxy "proxy-openssl-1.0.1e": TCP succesvol, kan geen TLS tot stand brengen naar [[127.0.0.1]:20004]:\
           SSL_connect() gaf SSL_ERROR_SSL terug: bestand s3_clnt.c regel 1253: fout:14090086:\
           SSL-routines:ssl3_get_server_certificate:certificaatverificatie mislukt:\
           TLS write fatale melding "certificaat ingetrokken"
  • Na de vervaldatum:
Kan geen verbinding maken met proxy "proxy-openssl-1.0.1e": TCP succesvol, kan geen TLS tot stand brengen naar [[127.0.0.1]:20004]:\
           SSL_connect() gaf SSL_ERROR_SSL terug: bestand s3_clnt.c regel 1253: fout:14090086:\
           SSL-routines:ssl3_get_server_certificate:certificaatverificatie mislukt:\
           TLS write fatale melding "certificaat verlopen"

Het punt hier is dat met een geldige CRL een ingetrokken certificaat wordt gemeld als "certificaat ingetrokken". Wanneer de CRL verloopt, verandert de foutmelding in "certificaat verlopen", wat behoorlijk misleidend kan zijn.

GnuTLS, in serverlog:

  • Voor en na de vervaldatum is dezelfde foutmelding:
Kan geen verbinding maken met proxy "proxy-openssl-1.0.1e": TCP succesvol, kan geen TLS tot stand brengen naar [[127.0.0.1]:20004]:\
           ongeldig peer-certificaat: Het certificaat is NIET vertrouwd. De certificaatketen is ingetrokken.

Self-signed certificate, unknown CA

OpenSSL, in log:

error:'self signed certificate: SSL_connect() set result code to SSL_ERROR_SSL: file ../ssl/statem/statem_clnt.c\
             line 1924: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:\
             TLS write fatal alert "unknown CA"'

This was observed when server certificate by mistake had the same Issuer and Subject string, although it was signed by CA. Issuer and Subject are equal in top-level CA certificate, but they cannot be equal in server certificate. (The same applies to proxy and agent certificates.)