PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Error bei Erzeugung eines X509 für Windows



cane
22.10.03, 10:54
Hello brains!

Ich bin dabei die x509 Zertifikte für Win zu erzeugen:

./CA.sh -newreq
./CA.sh -sign
mv newcert.pem windows.key
mv newreq.pem windows.pem

Wenn ich sie dann ins PKCS12 Format bringen will kommt diese Fehlermeldung:

openssl pkcs12 -export -in windows.pem -inkey windows.key -certfile demoCA/cacert.pem -out windows.p12

Error loading certificates from input
348:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib_c:662:Expecting: CERTIFICATE


Die windows.p12 ist dann zwar da aber sie ist leer...

Was habe ich falsch gemacht?
Die .pem und .key liegen beide in /usr/lib/ssl/misc also da wo auch meine CA.sh liegt.
Muß ich eine dieser Dateien vielleicht in ein anderes Verzeichnis packen?
Oder die Formatierung einer datei ändern?

mfg
cane

[WCM]Manx
22.10.03, 16:18
... liest du eigentlich auch die Antworten auf Deine anderen Postings?

Manx

cane
22.10.03, 16:36
Wieso nicht?

Hab aber noch eine Verständnisfrage an dich:
In der von Dir zitierten Anleitung auf vpn.ebootis.de/cert (http://vpn.ebootis.de/cert)
steht im vierten Schritt dass amn den Private Key mittels fswcert -k newreq.pem extrahieren soll und diese Daten nach /etc/ipsec.secrets speichern soll.

Kann ich das einfach mit fswcert -k newreq.pem > /etc/ipsec.secrets pipen?

Danke
cane

[WCM]Manx
22.10.03, 16:48
... warum sich selber die Arbeit an tun, wenn es andere für Dich erledigen:

ftp://ftp.heise.de/pub/ct/listings/0205-216.tgz herunterladen
=> entpacken
=> das original ssl Verzeichnis umbenennen auf ssl-orig z.B
=> genrandom kompilieren
=> das neue ssl Verzeichnis an die richtige Stelle kopieren (bei Debian /usr/lib/ssl)
=> Readme.lesen
=> openssl.cnf anpassen
=> im make_cert Script bei der Zeile für pkcs12 -export Kommentar entfernen
=> eventuell Scripts anpassen, denn das x509cert.der ist obsolet

Mit make_ca und make_cert und make_crl arbeiten und nicht mehr ärgern.

Grüße

Manx

cane
22.10.03, 16:50
Danke!
Ich werd mir das morgen mal in Ruhe zu Gemüte führen...
In jedem Howto ist ein anderer Weg beschrieben - das verwirrt.

cane

#EDIT
Die ct Sache kannte ich gar nicht - komisch obwohl ich seit zwei Jahren das Abo bekomme:rolleyes:

Naja - die ct ist kompetent also bin ich zuversichtlich und mache jetzt Feierabend...

[WCM]Manx
22.10.03, 16:58
... ja und die Schlüssel heißen überall anders ;)
Den dazugehörigen Online Artikel auch lesen.
http://www.heise.de/ct/02/05/220/default.shtml

Ist zwar schon etwas älter, und manches nicht mehr notwendig z.B x509cert.der aber eine gute Basis.

Manx

cane
23.10.03, 11:00
@[WCM]Manx

Morgen!
Die Scripte sind gut! Außerdem kann man wenn man die Make_cert etc editiert auch gut nachvollziehen was man manuell machen müßte...

Einen Fehler bei make_cert bekomme ich jedoch nicht korrigiert:


#!/bin/sh

HOST=${1:-gateway}

echo -e "Generate private key and certificate for $HOST\n"

#set path to random seed
export RANDFILE=$PWD/private/.rand

echo -e "\ngenerate 1024 bit RSA private key: private/${HOST}Key.pem"
openssl genrsa -des3 -out private/${HOST}Key.pem 1024

echo -e "\ngenerate certificate request by host $HOST"
openssl req -new -key private/${HOST}Key.pem -out ${HOST}Req.pem

echo -e "\nlist $HOST certificate request"
openssl req -in ${HOST}Req.pem -noout -text
Bis hierher läuft alles
echo -e "\ngenerate and sign $HOST certificate: ${HOST}Cert.pem"
openssl ca -in ${HOST}Req.pem -out ${HOST}Cert.pem -notext
Die Ausgabi ist ok bis auf:
de:invalid type in policy configuration wen ich es in DE ändere meckert er auch?
echo -e "\nlist $HOST X.509 certificate"
openssl x509 -in ${HOST}Cert.pem -noout -text
Hier kommt ein Fehler dass das Script das Zertifikat nicht laden kann und siehe da - gatewayCert.pem ist eine leere Datei
if test "$HOST" = "gateway"; then
echo -e "\nconvert $HOST certificate into DER format: x509cert.der"
openssl x509 -in ${HOST}Cert.pem -outform der -out x509cert.der
else
echo -e "\nconvert $HOST certificate into DER format: x509cert-${HOST}.der"
openssl x509 -in ${HOST}Cert.pem -outform der -out x509cert-${HOST}.der
# to generate PKCS#12 files for use with Windows uncomment next line
# openssl pkcs12 -export -in ${HOST}Cert.pem -inkey private/${HOST}Key.pem -certfile cacert.pem -out ${HOST}.p12
fi


Liegt das alles an dem "invalid de"?

cane

cane
23.10.03, 11:30
Hab den Fehler selbst gefunden: Ich habe in der falschen Sektion die Default Values geändert - also weiter oben da wo man einträgt ob einer der Werte matchen soll oder optional ist...

Scheint jetzt zu laufen:D

cane

[WCM]Manx
23.10.03, 11:54
Hi!

Wenn Du Zertifikate für Windows brauchst:

make_cert

# to generate PKCS#12 files for use with Windows uncomment next line
# openssl pkcs12 -export -in ${HOST}Cert.pem -inkey private/${HOST}Key.pem -certfile cacert.pem -out ${HOST}.p12

=> # wegmachen ;)

Manx

cane
23.10.03, 12:07
Hab ich auch schon gesehen...