Archiv verlassen und diese Seite im Standarddesign anzeigen : Error bei Erzeugung eines X509 für Windows
Hello brains!
Ich bin dabei die x509 Zertifikte für Win zu erzeugen:
./CA.sh -newreq
./CA.sh -sign
mv newcert.pem windows.key
mv newreq.pem windows.pem
Wenn ich sie dann ins PKCS12 Format bringen will kommt diese Fehlermeldung:
openssl pkcs12 -export -in windows.pem -inkey windows.key -certfile demoCA/cacert.pem -out windows.p12
Error loading certificates from input
348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib_c:662:Expecting: CERTIFICATE
Die windows.p12 ist dann zwar da aber sie ist leer...
Was habe ich falsch gemacht?
Die .pem und .key liegen beide in /usr/lib/ssl/misc also da wo auch meine CA.sh liegt.
Muß ich eine dieser Dateien vielleicht in ein anderes Verzeichnis packen?
Oder die Formatierung einer datei ändern?
mfg
cane
... liest du eigentlich auch die Antworten auf Deine anderen Postings?
Manx
Wieso nicht?
Hab aber noch eine Verständnisfrage an dich:
In der von Dir zitierten Anleitung auf vpn.ebootis.de/cert (http://vpn.ebootis.de/cert)
steht im vierten Schritt dass amn den Private Key mittels fswcert -k newreq.pem extrahieren soll und diese Daten nach /etc/ipsec.secrets speichern soll.
Kann ich das einfach mit fswcert -k newreq.pem > /etc/ipsec.secrets pipen?
Danke
cane
... warum sich selber die Arbeit an tun, wenn es andere für Dich erledigen:
ftp://ftp.heise.de/pub/ct/listings/0205-216.tgz herunterladen
=> entpacken
=> das original ssl Verzeichnis umbenennen auf ssl-orig z.B
=> genrandom kompilieren
=> das neue ssl Verzeichnis an die richtige Stelle kopieren (bei Debian /usr/lib/ssl)
=> Readme.lesen
=> openssl.cnf anpassen
=> im make_cert Script bei der Zeile für pkcs12 -export Kommentar entfernen
=> eventuell Scripts anpassen, denn das x509cert.der ist obsolet
Mit make_ca und make_cert und make_crl arbeiten und nicht mehr ärgern.
Grüße
Manx
Danke!
Ich werd mir das morgen mal in Ruhe zu Gemüte führen...
In jedem Howto ist ein anderer Weg beschrieben - das verwirrt.
cane
#EDIT
Die ct Sache kannte ich gar nicht - komisch obwohl ich seit zwei Jahren das Abo bekomme:rolleyes:
Naja - die ct ist kompetent also bin ich zuversichtlich und mache jetzt Feierabend...
... ja und die Schlüssel heißen überall anders ;)
Den dazugehörigen Online Artikel auch lesen.
http://www.heise.de/ct/02/05/220/default.shtml
Ist zwar schon etwas älter, und manches nicht mehr notwendig z.B x509cert.der aber eine gute Basis.
Manx
@[WCM]Manx
Morgen!
Die Scripte sind gut! Außerdem kann man wenn man die Make_cert etc editiert auch gut nachvollziehen was man manuell machen müßte...
Einen Fehler bei make_cert bekomme ich jedoch nicht korrigiert:
#!/bin/sh
HOST=${1:-gateway}
echo -e "Generate private key and certificate for $HOST\n"
#set path to random seed
export RANDFILE=$PWD/private/.rand
echo -e "\ngenerate 1024 bit RSA private key: private/${HOST}Key.pem"
openssl genrsa -des3 -out private/${HOST}Key.pem 1024
echo -e "\ngenerate certificate request by host $HOST"
openssl req -new -key private/${HOST}Key.pem -out ${HOST}Req.pem
echo -e "\nlist $HOST certificate request"
openssl req -in ${HOST}Req.pem -noout -text
Bis hierher läuft alles
echo -e "\ngenerate and sign $HOST certificate: ${HOST}Cert.pem"
openssl ca -in ${HOST}Req.pem -out ${HOST}Cert.pem -notext
Die Ausgabi ist ok bis auf:
de:invalid type in policy configuration wen ich es in DE ändere meckert er auch?
echo -e "\nlist $HOST X.509 certificate"
openssl x509 -in ${HOST}Cert.pem -noout -text
Hier kommt ein Fehler dass das Script das Zertifikat nicht laden kann und siehe da - gatewayCert.pem ist eine leere Datei
if test "$HOST" = "gateway"; then
echo -e "\nconvert $HOST certificate into DER format: x509cert.der"
openssl x509 -in ${HOST}Cert.pem -outform der -out x509cert.der
else
echo -e "\nconvert $HOST certificate into DER format: x509cert-${HOST}.der"
openssl x509 -in ${HOST}Cert.pem -outform der -out x509cert-${HOST}.der
# to generate PKCS#12 files for use with Windows uncomment next line
# openssl pkcs12 -export -in ${HOST}Cert.pem -inkey private/${HOST}Key.pem -certfile cacert.pem -out ${HOST}.p12
fi
Liegt das alles an dem "invalid de"?
cane
Hab den Fehler selbst gefunden: Ich habe in der falschen Sektion die Default Values geändert - also weiter oben da wo man einträgt ob einer der Werte matchen soll oder optional ist...
Scheint jetzt zu laufen:D
cane
Hi!
Wenn Du Zertifikate für Windows brauchst:
make_cert
# to generate PKCS#12 files for use with Windows uncomment next line
# openssl pkcs12 -export -in ${HOST}Cert.pem -inkey private/${HOST}Key.pem -certfile cacert.pem -out ${HOST}.p12
=> # wegmachen ;)
Manx
Hab ich auch schon gesehen...
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.