PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : CA.pl der öffentl. Schlüssel



Zerwas
25.05.05, 10:35
Hallo,

ich bin gerade dabei mit CA.pl ein CA aufzusetzen.
Privater Schlüssel wurde erstellt im Ordner demoCA/privat.
Im Ordner demoCA ist ebenfalls die Datei cacert.pem.
Ist dies der öffentliche Schlüssel der CA oder muß dieser händisch noch erstellt werden.

Wenn ich einen Request signiert habe kann ich das Zertifikat im Klartext einsehen. Wie kann ich es aber mit einem RSA-Schlüssel versehen?

Wäre super wenn mir jemand helfen könnte.

Windoofsklicker
25.05.05, 12:36
Lies dir das mal durch:
http://www.stud.fh-lippe.de/users/mkoelling/ss_pro.pdf

Ab Kap. 2 (Seite 4)

Zerwas
31.05.05, 10:06
Hallo,

Wenn ich mit CA.pl das Zertifikat erstellt habe ist es im Klartext lesbar.

Da unsere Cisco-Clients aber das Zertifikat im Klartext nicht akzeptieren möchte ich es mit einem RSA-Schlüssel versehen. Kann mir jemand einen Tipp geben wie ich das anstelle.

Der öffentliche Schlüssel der CA (cacert.pem) ist ja ebenfalls nicht im Klartext ersichtlich.

Wenn mir jemand einen Tipp geben könnte wäre das echt super.

Zerwas
31.05.05, 11:31
Meine Frage ist falsch gestellt gewesen.

Mit dem Befehl
openssl x509 -in filename Karl-Mustermann-cert.pem

bekomme ich das Zertifikat ohne den oben angehängten Klartext.

Nun denn vielleicht hilft dieser Satz jemandem ander bei dem gleichem Problem.

IT-Low
31.05.05, 18:36
Du kannst eine Passphrase (nachträglich) hinzufügen z.B. mit:

openssl rsa -in key.old -out key.new -aes256

cane
31.05.05, 18:53
Hast du keine Doku in der beschrieben ist welche Formate der VPN-Client von Cisco akzeptiert?

Das würde mich auch mal interessieren...

mfg
cane

Zerwas
01.06.05, 09:00
Ich hatte die Frage leider sehr unglücklich formuliert.

Das Format ist Base64

Allerdings kann die Cisco-Software bin und base64.

Mein Problem ist gewesen: Die Zertifikate, welche mit dem Toll CA.pl erstellt wurden beinhalteten das eigentliche Zertifikat mit ebenfalls der Klartextanzeige
des Inhaltes, den ich normalerweise mit
openssl x509 -in cert -noout -text

angezeigt bekomme.

nachdem ich mir das eigentliche Zertifikat anzeigen lassen und es in eine neue Datei ugelenkt habe hat diese tolle Software es akzeptiert.

Ich hoffe ich habe mich verständlich ausdrücken können.

Zerwas
01.06.05, 11:14
So wie es leider immer ist stehe ich vor einem weiteren Problem

In der Datei openssl.cnf möchte ich einen Eintrag des crlDistributionPoint eintragen.

Im Netz habe ich folgenden Eintrag gefunden.

crlDistributionPoint=URI:http://www.ca.de/ca1.crl[, URI:http://www.ca.de/ca2.crl ... ]

Diesen habe ich eingepflegt und bekomme immer die Fehlermeldung beim signieren

12071:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:329:group=CA_default name=email_in_dn

12071:error:2207C082:X509 V3 routines:DO_EXT_CONF:unknown extension name:v3_conf.c:123:

12071:error:2206B080:X509 V3 routines:X509V3_EXT_conf:error in extension:v3_conf.c:92:name=CrlDistributionPointUr l, value=http://192.168.126.202/cert/crl.pem

Ich habe den Eintrag abgeändert in

crlDistributionPoint=URI:http://www.ca.de/ca1.crl
crlDistributionPoint = URI:http://www.ca.de/ca1.crl

doch leider mit keinem Erfolg.

Kann mir jemand meinen Fehler erklären ???

Da ich natürlcih den Eintrag benötige um meinen CRL-Infos auf den Geräten aktuell halten zu können suche ich wie wild im Internet.

Leider bis jetzt ohne Erfolg. :(

cane
01.06.05, 11:53
1. Poste bitte mal den befehl den Du zum Signieren eingibst.
2. Ist die URI denn überhaupt zu erreichen? Muss ja ein intranetserver bei dir sein... Probiers mal im Browser aus ob Du die CRL angezeigt bekommst...


mfg
cane

Zerwas
01.06.05, 12:15
Der Befehl zum signieren ist relativ simpel.

./CA.pl -sign

Es funktioniert auch einwandfrei. Allerdings ist keine vorgefertigter Eintrag in der openssl.cnf vorhanden für den Link der Revokationlist.

Die Datei ist ohne Probleme zu erreichen. Habe es gerade noch einmal ausprobiert.

Allerdings sehe ich das Problem in der openssl.cnf mit meinem händisch hinzugefügten Eintrag.

openssl ist der Wert wie ich ihn eingefügt habe nicht bekannt.
Demzufolge kann CA.pl das signierte Zertifikat nicht erstellen.

Ist der Eintrag nicht vorhanden wie in meiner Teststellung klappt alles wunderbar.

Zerwas
02.06.05, 09:20
Hallo,
ich habe jetzt ebenfalls eine CA mit TinyCA erstellt.

die informationsfelder sind für die Angaben in 2 Fenster unterteilt. Im ersten Feld sind die Angaben über Name, Land, Region usw. Im 2. Fenster kann ich http-Adressen für Rückruflisten angeben. Allerdings mit dem gleichen Problem als wenn ich es händisch mache. Alle CRL'S sind für ns (Netscape) Diese werden von dem Cisco Concentrator nich als CRL-Distribution Point angesehen oder interpretiert. Ich benötige aber den Eintrag damit der gute Kerl seine CRL's auf dem aktuellen Stand halten kann.

Da bis jetzt unsere Cisco Umgebeung sich perfekt mit der Linuxwelt ergänzt möchte ich das Problem weiter angehen.

In den Howto's oder den openssl Handbüchern steht ein Eintrag

crlDistributionPoints = URL:http://IP-Adresse/Pfad/Datei

Leider bekomme ich wenn ich von Hand editiere beim signieren eine fehlermeldung.

Enter pass phrase for ./demoCA/private/cakey.pem:

DEBUG[load_index]: unique_subject = "yes"

Error Loading extension section usr_cert

6766:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:329:group=CA_default name=email_in_dn

6766:error:2207C082:X509 V3 routines:DO_EXT_CONF:unknown extension name:v3_conf.c:123:

6766:error:2206B080:X509 V3 routines:X509V3_EXT_conf:error in extension:v3_conf.c:92:name=crlDistributionPointsU rl, value=http://192.168.126.202/cert/crl.pem

Ich befürchte dass der Eintrag falsch geschrieben ist (habe schon mehrere Konstellationen ausprobiert) oder er nicht an der richtigen Stelle im Skript verankert ist

Bei mir ist er in [usr_cert]

Ich hoffe jemand kann mir auf dieSprünge helfen

Zerwas
03.06.05, 13:46
Hallo,

ich habe weitergeforscht und muß nun sagen so ein b..... Fehler kann einen die Materie echt kennenlernen lassen.

Ich habe mich verschrieben

crlDistibutionPoints = URL:http://xxx.xxx.xxx.xxx/Datei

Das L ist falsch!!!!

crlDistibutionPoints = URI:http://xxx.xxx.xxx.xxx/Datei

Nur für alle die diesen Thread mitvervolgt haben.

Trotzdem danke für die Tipps.