Hallo zusammen,

ich habe mir (unter SuSE-9.1) eine CA mit:

./CA.sh -newca
erstellt. Anschließend habe ich mit:

CA.sh -newcert
ein Zertifikat erstellt. Wenn ich nun versuche das Zertifikat mit:

CA.sh -signcert
zu signieren erhalte ich folgnde Meldung:

Cert passphrase will be request twince - bug?
Getting request Private Key
Enter pass phrase for newreq.pem: [Passworteingabe]
Generating certificate request
Using configuration from /etc/ssl/openssl.conf
3011:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:329:group=CA_default name=unique_subject
Enter pass phrase for ./demoCA/private/cakey.pem:
Wenn ich bei der zweiten Passwortabfrage das Passwort eingebe wird das Zertifikat auch signiert.
Was besagt dieser Fehler? Ich muß dazusagen das ich in der Datei openssl.conf keinerlei Veränderungen vorgenommen habe.

Gruß Pixel

Wenn du die Option "-newcert" verwendest, dann führt das zu diesem Fehler. Ich werde mich mal schlau machen für was diese Option ist*.

Ein Zertifikat wird anderes erzeugt. In der Quelle von CA.pl steht folgendes:

# CA -newca ... will setup the right stuff
# CA -newreq ... will generate a certificate request
# CA -sign ... will sign the generated request and output
Die Idee dahinter: CA -newreq kann irgendwo ausgeführt werden. Man erhält dann einen Certificate-Request, der dem CA-Admin übergeben wird. Dieser unterschreibt den Request mit dem CA-Root-Zertifikat und macht den Certifikate-Request damit zu einem gültigen Zertifikat.

Nach dem Befehl CA -newreq findest du in der Datei newreq.pem zwar sowohl den (verschlüsselten) Private-Key als auch den Certificate-Request (Public-Key). Zum Signieren mit der CA braucht es aber nur letzteren. Du kannst das testen, indem du mit einem beliebigen Editor den Private-Key aus newreq.pem herauslöscht und dann so signierst.

Edit: Der einzige Unterschied zwischen -newreq und -newcert ist, dass bei -newcert zusätzlich die Option -x509 an Openssl gegeben wird. Damit eignet sich diese Option um ein selbst signiertes Zertifikat auszustellen.

-x509
this option outputs a self signed certificate instead of a certificate request. This is
typically used to generate a test certificate or a self signed root CA. The extensions
added to the certificate (if any) are specified in the configuration file.

Gruss, Andy

Wewr das Erstellen der Zertifikate unter X11 durchführen will schaut sich TinyCA (http://tinyca.sm-zone.net/index_ger.html) oder alternativ OpenCA (http://www.openca.org/home.shtml) an...

mfg
cane

Hi@all,

danke für die Infos. Ich habe den Fehler gefunden. Ich muß in der Datei:

/etc/ssl/openssl.nf

den Eintrag:
unique_subject = no
aktivieren. Dann klappt's

Gruß Pixel