Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 7784 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN only 1024bit instead of 2048bit?

stevenhemelaere
My SSL VPN has been configured to use a 2048bit key size, however when checking the logs, i get the following:

2009:06:18-16:30:58  openvpn[12501]: :1761 TLS: Username/Password authentication succeeded for username '' 
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2009:06:18-16:30:58  openvpn[12501]: :1761 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA


Am i misinterpreting something, or is there really a problem here?

BTW: i'm using 7.460


This thread was automatically locked due to age.
Parents
  • 0
    dhaman3, I think that may be a different issue.  The user certs can be generated with 1024-, 2048-, 3072- or 4096-bit keys.  Oh, wait a minute, I see now that it is the same issue.  I don't think this is an error.  It's the difference between the keysize for the user and the keysize for the Astaro SSL VPN server.

    Cheers - Bob
  • 0 in reply to BAlfson
    Here with 7.306 it's the same.

    User, local and WA have a public key length of 1024 bit. I downloaded and read with text editor.

    The key is set to 2048...

    Is it related to the length of the local certificate? So I think the server's cert should be changed to one with 2048 and and every SSL user should get a new one with 2048 bit too.

    I will try this with my ASL and let you know the result of testing.
    -- 
    Kind regards,

    Steffen
Reply
  • 0 in reply to BAlfson
    Here with 7.306 it's the same.

    User, local and WA have a public key length of 1024 bit. I downloaded and read with text editor.

    The key is set to 2048...

    Is it related to the length of the local certificate? So I think the server's cert should be changed to one with 2048 and and every SSL user should get a new one with 2048 bit too.

    I will try this with my ASL and let you know the result of testing.
    -- 
    Kind regards,

    Steffen
Children
  • 0 in reply to trialrider
    So, finished.

    In my ASL at 7.502 I set SSL-VPN to use a own certificate created with key length of 2048 bits.

    for the used user I created a new user certificate using distinguished name with a length of 2048 bits too.

    After that I logged in to UP and downloaded SSL configuration files only, client from 7.306 still intsalled. The installed certificates I read with text editor again. in ca.cert public key has a length of 1024 bits but the user.cert has a public key length of 2048 bits.

    In connecting log I could read it was using key length of 2048 bits.

    "Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA"

    But why the ca.cert is using 1024 bit if in SSL settings a certificate with 2048 bits is set to use?

    Hope that helps everyone.
    -- 
    MfG, Steffen