Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 7782 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN only 1024bit instead of 2048bit?

stevenhemelaere
My SSL VPN has been configured to use a 2048bit key size, however when checking the logs, i get the following:

2009:06:18-16:30:58  openvpn[12501]: :1761 TLS: Username/Password authentication succeeded for username '' 
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2009:06:18-16:30:58  openvpn[12501]: :1761 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA


Am i misinterpreting something, or is there really a problem here?

BTW: i'm using 7.460


This thread was automatically locked due to age.
  • 0
    Show a pic of the 'Advanced' tab of 'SSL VPN'.  If it says you're using a 2048-bit key, I think you found a bug.
  • 0 in reply to BAlfson
    In attachment you can see my advanced settings.
  • 0
    I too have the same issue im running 7.502 and i have ssl vpn set to use a 2048 Bit cert but when checking the cert for my user it is still only 1024
  • 0
    dhaman3, I think that may be a different issue.  The user certs can be generated with 1024-, 2048-, 3072- or 4096-bit keys.  Oh, wait a minute, I see now that it is the same issue.  I don't think this is an error.  It's the difference between the keysize for the user and the keysize for the Astaro SSL VPN server.

    Cheers - Bob
  • 0 in reply to BAlfson
    Here with 7.306 it's the same.

    User, local and WA have a public key length of 1024 bit. I downloaded and read with text editor.

    The key is set to 2048...

    Is it related to the length of the local certificate? So I think the server's cert should be changed to one with 2048 and and every SSL user should get a new one with 2048 bit too.

    I will try this with my ASL and let you know the result of testing.
    -- 
    Kind regards,

    Steffen
  • 0 in reply to trialrider
    So, finished.

    In my ASL at 7.502 I set SSL-VPN to use a own certificate created with key length of 2048 bits.

    for the used user I created a new user certificate using distinguished name with a length of 2048 bits too.

    After that I logged in to UP and downloaded SSL configuration files only, client from 7.306 still intsalled. The installed certificates I read with text editor again. in ca.cert public key has a length of 1024 bits but the user.cert has a public key length of 2048 bits.

    In connecting log I could read it was using key length of 2048 bits.

    "Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA"

    But why the ca.cert is using 1024 bit if in SSL settings a certificate with 2048 bits is set to use?

    Hope that helps everyone.
    -- 
    MfG, Steffen
  • 0
    Exactly my issue i have no problem creating a cert for a user and it actually being 2048 Bits (user cert) but the ASG Certificate Authority can not be made 2048 Bits, this is either a limitation or a bug because there's not much sense in a user authenticating a 2048bit cert to a 1024 bit CA. Is there a work around for this ? i know in open vpn i can make all the certs , CA etc that i need , but i would like ASG to give me the capability of using a 2048 Bit CA
  • 0 in reply to dhaman3
    One interesting thing I found in the start up entries from the SSL VPN log:

    openvpn[3855]: Diffie-Hellman initialized with 2048 bit key

    [edit]In v7.306 I can read this.[/edit]

    ...
    -- 
    MfG, Steffen
  • 0
    I guess no one has found an answer to this ?
  • 0
    I almost understood this 2+ years ago, but I think I see the question now...

    There are two different issues: (1) authentication for establishing the VPN tunnel and (2) encryption/decryption of traffic sent through the tunnel.

    When authentication is involved here, I think the private key held by each side must match the public key held by the other, and that each side is free to have its own private+public keys with 1024, 2048, etc.  The same is true of the CA; it doesn't have to match the 1024/2048 of the certificate, the cert just need to refer to the CA correctly.

    As for sending traffic through the tunnel, that is encrypted/decrypted based on an algorithm (like AES256) and the certificates.  Again, the certs don't have to match, just the private and public keys of each.

    If I've misunderstood anything, I welcome correction.

    Cheers - Bob