PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : "entry 1: bad serial number length" beim Signieren eines Zertifikates


waynem
13.08.02, 12:08
Der Betreff sagt es eigentlich schon: ich möchte mich für ein VPN legitimieren und stelle mir dafür ein eigenes Zertifikat aus. Root- ud Gateway-Zertifikate wurden erfolgreich angelegt, aber nun stänkert das Teil bei der Signatur meines User-Zertifikates in meiner Funktion als root.
Die "serial"-Datei enthält einfach nur "01", was ja auch inhaltlich korrekt wäre. Liegt es überhaupt an dieser Datei? :confused:

Kennt jemand die Fehlermeldung? Oder besser: kennt jemand die Lösung dieses Problems?

Leider bin ich erst seit einer Woche mit Linux zugange, also erklärt es mir und meinen Windows-geschulten Gehirnwindungen ein bisschen ausführlicher.

Vielen Dank im Voraus! :)
$simon[0]
13.08.02, 17:16
Hi,

Kannst du evtl. die index.txt posten?

Der Wert in der serial Datei gibt immer die nächst freie Serial an, wenn du also z.B. dein Root Zertifikat (serial 00) und 2 VPN Gateway Zertifikate (serial 01 & 02) erstellt hast, müsste in der serial 03 stehen.

Nutzt du intermediate/subordinate CAs?

Gruß,
Simon
waynem
13.08.02, 17:54
Hallo Simon,

Dein Tipp war entscheidend! In der Tat hatte ich serial mit "00" vorbesetzt, was aber von openssl innnerhalb der index.txt in "0" umgewandelt wurde. This was definitely not long enough :D

Ich habe serial nun mit "01" vorbesetzt und siehe da......... es spielt!

Vielen Dank und einen schönen Abend!

Michael
$simon[0]
13.08.02, 19:16
Hi,

gut das es jetzt funktioniert, aber (evtl. hab' ich das jetzt falsch verstanden..) die serial 00 ist für dein Root Zertifikat vorgesehen, den Eintrag in der index.txt musst du "von Hand" machen (OpenSSL mach dies leider nicht von selbst).
Dann setzt du den Wert in der serial Datei auf 01, dieser Wert wird dann dem ersten Zertifikat, dass deine CA erstellt, zugewiesen.
Der Wert in der serial Datei erhöht sich dann selbstständig. Auch die Eintragungen in der index.txt werden ab diesem Zeitpunkt selbstständig von OpenSSL gemacht.

Wenn du dir wirklich vorgenommen hast eine CA mit OpenSSL zu erstellen, dann solltest du das OpenSSL Handbuch vom DFN lesen (in deutscher Sprache).
http://www.dfn-pca.de/certify/ssl/handbuch/

Grüße,
Simon