<div dir="ltr">Hi,<div><br></div><div>I generated .csr using openssl command and used this csr to generate CA signed certificate. I installed this CA signed certificate under trusted root of server. But when I run freeradius in debug mode, I get the following error:</div><div><br></div><div><div>(0) <<< TLS 1.0 Handshake [length 0208], Certificate  </div><div>--> verify error:num=20:unable to get local issuer certificate </div><div>(0) ERROR: SSL says error 20 : unable to get local issuer certificate</div><div>(0) >>> TLS 1.0 Alert [length 0002], fatal unknown_ca  </div><div>(0) ERROR: SSL says: TLS Alert write:fatal:unknown CA</div><div>(0) ERROR: SSL says:     TLS_accept: error in SSLv3 read client certificate B</div><div>(0) ERROR: SSL says: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned</div><div>SSL: SSL_read failed in a system call (-1), TLS session fails.</div><div>(0) FAILED in TLS handshake receive</div><div>Closing TLS socket from client port 1645</div><div>Client has closed connection</div><div> ... shutting down socket auth from client (10.253.6.11, 1645) -> (*, 2083, virtual-server=default)</div></div><div><br></div><div>Debug says "fatal unknown_ca". I think I should be adding CA information somewhere in the server. Could anybody please guide me on the same.</div><div>I would like to know where am I going wrong.</div><div><br></div><div>Thanks,</div><div>Kavya</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 16, 2014 at 8:26 AM, KAVYA PRABHAKAR <span dir="ltr"><<a href="mailto:kavyamelinmaneprabhakar@gmail.com" target="_blank">kavyamelinmaneprabhakar@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra">Hi,</div><div class="gmail_extra"><br></div><div class="gmail_extra">Thanks for the help.</div><div class="gmail_extra">I am able to open 2083 tcp port.</div><div class="gmail_extra">I have a RADIUS client which sends request to freeradius server. Before sending request to server, it creates a TCP\TLS connection with it.</div><div class="gmail_extra">TCP connection is getting established and during TLS handhsake, server throws following error:</div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_extra">(0) <<< TLS 1.0 Handshake [length 025c], Certificate  </div><div class="gmail_extra">--> verify error:num=18:self signed certificate </div><div class="gmail_extra">(0) ERROR: SSL says error 18 : self signed certificate</div><div class="gmail_extra">(0) >>> TLS 1.0 Alert [length 0002], fatal unknown_ca  </div><div class="gmail_extra">(0) ERROR: SSL says: TLS Alert write:fatal:unknown CA</div><div class="gmail_extra">(0) ERROR: SSL says:     TLS_accept: error in SSLv3 read client certificate B</div><div class="gmail_extra">(0) ERROR: SSL says: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned</div><div class="gmail_extra">SSL: SSL_read failed in a system call (-1), TLS session fails.</div><div class="gmail_extra">(0) FAILED in TLS handshake receive</div><div class="gmail_extra">Closing TLS socket from client port 1645</div><div class="gmail_extra">Client has closed connection</div><div class="gmail_extra"> ... shutting down socket auth from client (10.253.6.11, 1645) -> (*, 2083, virtual-server=default)</div><div class="gmail_extra">Waking up in 2.9 seconds.</div><div class="gmail_extra">... cleaning up socket auth from client (10.253.6.11, 1645) -> (*, 2083, virtual-server=default)</div><div class="gmail_extra"><br></div><div class="gmail_extra">Looking at the debugs I think server expects client certificate information as well. Does it work on MTLS? (mutual TLS). </div><div class="gmail_extra">I am using self signed certificate generated by ubuntu(where server is installed) and using the same in tls file.</div><div class="gmail_extra">The same certificate is put under trusted root in client as well.</div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Thanks,</div><div class="gmail_extra">Kavya</div></div></div>
</blockquote></div><br></div></div>