Fedora 22 и дайджесты MD5 в сертификатах для OpenVPN
В свежих версиях OpenSSL запрещено использовать подписи MD5, как небезопасные. Но некоторые ребята умудряются генерить сертификаты для OpenVPN подписанные MD5, что вызывает лютую ненависть тех, кто пытается подключиться к этому VPN с чего-то более нового, чем окаменевшее говно мамонта.
Патч с решением ниже
--- /etc/pki/tls/openssl.cnf 2015-03-19 20:31:40.000000000 +0300 +++ /etc/pki/tls/openssl.cnf 2015-10-01 12:51:45.491707210 +0300 @@ -341,7 +341,8 @@ default_policy = tsa_policy1 # Policy if request did not specify it # (optional) other_policies = tsa_policy2, tsa_policy3 # acceptable policies (optional) -digests = sha1, sha256, sha384, sha512 # Acceptable message digests (mandatory) +#digests = sha1, sha256, sha384, sha512 # Acceptable message digests (mandatory) +digests = md5, sha1, sha256, sha384, sha512 # Acceptable message digests (mandatory) accuracy = secs:1, millisecs:500, microsecs:100 # (optional) clock_precision_digits = 0 # number of digits after dot. (optional) ordering = yes # Is ordering defined for timestamps? --- /usr/lib/systemd/system/NetworkManager.service 2015-10-02 13:00:49.693140243 +0300 +++ /usr/lib/systemd/system/NetworkManager.service 2015-05-20 16:00:47.682919852 +0300 @@ -4,6 +4,8 @@ Before=network.target network.service [Service] +Environment="NSS_HASH_ALG_SUPPORT=+MD5" +Environment="OPENSSL_ENABLE_MD5_VERIFY=1" Type=dbus BusName=org.freedesktop.NetworkManager ExecStart=/usr/sbin/NetworkManager --no-daemon
После применения перезапустить NetworkManager
systemctl restart NetworkManager
Наслаждаемся работающим OpenVPN из NetworkManager-а!
Для запуска OpenVPN руками следует установить переменные окружения самостоятельно.