Sie sind nicht angemeldet.

Debian Zertifikate

Lieber Besucher, herzlich willkommen bei: Linux Forum Linux-Web.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich
  • »bonsai« ist der Autor dieses Themas

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

1

24.01.2006, 16:56

Zertifikate

Hi all,

haette wieder einmal eine Frage....

ziehe gerade unseren LDAP-Server um - der alte nutzt Zertifkate....
schoen und gut habe ich fuer den neuen eben auch welche erstellt. So far so good.

Nun versuche ich den slapd mit den Zertifikaten zu starten - laeuft auch. ABER: Ich
muss die ganze Zeit so eine daemliche PEM Passphrase eingeben. :(

Dies beginnt selbstverstaendlich bereits, wenn ich den Key generiere:
fsmirror02:/sysadmin/administration/ldap.new/TLS-configuration/bin# ./make.signed.certificate fsldap02.nbg.ct.dom
Generating RSA private key, 4096 bit long modulus
.....................................................++
..............................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for ../keys/fsldap02.nbg.ct.dom.key:
2148:error:28069065:lib(40):UI_set_result:result too small:ui_lib.c:847:You must type in 4 to 8191 characters

Ist es moeglich, durch die Angabe eines Parameters zu sagen, dass man keine Passphrase angeben moechte?

Derzeit rufe ich die Keygenerierung so auf:
openssl genrsa -des3 -out ../keys/$1.key 4096

In $1 wird der Name des keys, zertifikats etc. übergeben.......

??? Weiss Jemand Rat ???
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

linuxerr

Prof. Dr. Schlaumeier

  • »linuxerr« ist männlich

Beiträge: 8 557

Wohnort: Mecklenburg, zur Entwicklungshilfe in Chemnitz/Sachsen ;-)

  • Nachricht senden

2

24.01.2006, 17:36

RE: Zertifikate

also das teil will ja mindestens vier zeichen als passphrase und du willst keine??
hmmm....., als kompromiss könnte ich dir
openssl genrsa -des3 -out ../keys/$1.key -passout pass:none 4096
vorschlagen.
Die Rechtschreibfehler in diesem Beitrag sind nicht urheberrechtlich geschützt.
Jeder der einen findet darf ihn behalten und in eigenen Werken weiterverwenden.

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich
  • »bonsai« ist der Autor dieses Themas

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

3

24.01.2006, 17:42

Mhh...laufe ich in einen fehler....

siehe da:

fsmirror02:/sysadmin/administration/ldap.new/TLS-configuration/bin# openssl genrsa -des3 -out bla.key -passout pass:none 4096
Generating RSA private key, 4096 bit long modulus
...............++
.......................................................................................................................................................................................................................................................++
e is 65537 (0x10001)
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich
  • »bonsai« ist der Autor dieses Themas

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

4

24.01.2006, 17:51

linuxerr...

...dann haette ich aber ja doch eine passphrase, bei der ich nicht weiss, wie ich die übergeben soll..... !? Oder nicht?

Kind regards,

Bernd
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich
  • »bonsai« ist der Autor dieses Themas

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

5

24.01.2006, 18:12

Mag' ne Halbwahrheit sein...

fsmirror02:/sysadmin/administration/ldap.new/TLS-configuration/bin# openssl dsaparam 1024 -out dsaparams
Generating DSA parameters, 1024 bit long prime
This could take some time
................+.+.....+.+.+................+......+.......+...............+.......+.+......+.+...........+++++++++++++++++++++++++++++++++++++++++++++++++++*
.............+............................+...........+....+................+.....+.......+..................+...+..............+..+..............+........................+....+..................+..........+....................+.+...+.........+++++++++++++++++++++++++++++++++++++++++++++++++++*
fsmirror02:/sysadmin/administration/ldap.new/TLS-configuration/bin# openssl gendsa -out bla.key dsaparams
Generating DSA key, 1024 bits

Seems working!

genrsa -des3 => Ohne Passphrase wäre alles frei lesbar... => unsicher.

LINUXERR: Danke fuer die Hilfe....

Kind regards,
Bernd
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?

epikur

... only human being

  • »epikur« ist männlich

Beiträge: 589

  • Nachricht senden

6

24.01.2006, 18:27

hi bonsai,
tut das 'builtin'

Zitat


...
Nach Eingabe des zweiten Kommandos wird der Schlüssel für den SSL-Server geladen. Liegt dieser verschlüsselt vor, wird nach einer Passphrase gefragt. Nach Eingabe der Passphrase startet der Server dann. Das impliziert, daß beim Starten des SSL-Servers jemand zugegen sein muß. Alternativ kann die Passphrase in einer - wie auch immer beschaffenen - Datei abgelegt werden. Wichtig ist nur, daß die Passphrase von dieser Datei bzw. dem Programm auf der Standardausgabe ausgegeben wird. Dazu muß die SSL-Direktive SSLPassPhraseDialog auf den Pfad zu dieser Datei gesetzt werden:

SSLPassPhraseDialog /usr/local/bin/gibpassphrase

Voreinstellung der Direktive ist builtin, was für die Eingabe der Passphrase am Prompt steht. Bei einem unbeaufsichtigten Start des Servers (z.B. nach einem Reboot) kann mit dem obigen ersten Kommando (per init-Skript) bei verschlüsselter Passphrase zumindest der Nicht-SSL-Server wieder in Betrieb genommen werden. Oder es kann alternativ die Passphrase-Datei eingesetzt werden.
...


... zu finden unter:

http://www.dfn-pca.de/certify/ssl/handbu…#s-apassl-scert

gruß epikur
wie soll ich wissen, was ich denke?
... bevor ich hoere, was ich sage
... bevor ich lese, was ich schreibe

bonsai

Prof.Dr. Klugschiss

  • »bonsai« ist männlich
  • »bonsai« ist der Autor dieses Themas

Beiträge: 1 486

Wohnort: N.de

Beruf: Informatiker

  • Nachricht senden

7

24.01.2006, 18:34

Yes...

...aber da gibt es beim openldap keine Einstellung fuer....

...glaube ich.

Hat mich ganz schoen aufgehalten - hoffe es laeuft jetzt.
Die erste programmgesteuerte Rechenmaschine (Z1) wurde Mitte der 30er Jahre als "nicht patentwürdig" eingestuft. Warum versaut mir das Ding 50 Jahre später immer noch den Tag?
Thema bewerten