Hallo zusammen

Ich habe mir eine eigene GnuTLS CA angelegt und möchte damit nun meine Server-Zertifikate signieren.

[root@host] certtool -v
certtool (GnuTLS) 2.12.14
(...)

1. Private key für die CA anlegen:

[root@host] certtool --generate-privkey --outfile ca_tls.key --password "secret"
(...)

2. Self-signed Zertifikat für die CA anlegen

[root@host] certtool --generate-self-signed --load-privkey ca_tls.key --outfile ca_tls.cert --password "secret"
Generating a self signed certificate...
Please enter the details of the certificate's distinguished name. Just press enter to ignore a field.
(...)
Does the certificate belong to an authority? (y/N): y
Path length constraint (decimal, -1 for no constraint): -1
Is this a TLS web client certificate? (y/N): n
Will the certificate be used for IPsec IKE operations? (y/N): 
Is this also a TLS web server certificate? (y/N): n
Enter the e-mail of the subject of the certificate: 
Will the certificate be used to sign other certificates? (y/N): y
Will the certificate be used to sign CRLs? (y/N): y
Will the certificate be used to sign code? (y/N): y
Will the certificate be used to sign OCSP requests? (y/N): y
(...)

3. Key für den Server anlegen

[root@host] certtool --generate-privkey --outfile server_tls.key

4. Zertifikat für den Server anlegen

[root@host] certtool --generate-certificate --load-privkey server_tls.key --load-ca-certificate ca_tls.cert --load-ca-privkey ca_tls.key --outfile server_tls.cert
Generating a signed certificate...
Please enter the details of the certificate's distinguished name. Just press enter to ignore a field.
(...)
Does the certificate belong to an authority? (y/N): 
Is this a TLS web client certificate? (y/N): 
Will the certificate be used for IPsec IKE operations? (y/N): 
Is this also a TLS web server certificate? (y/N): y
Enter a dnsName of the subject of the certificate: server
Enter a dnsName of the subject of the certificate: server.com
Enter a dnsName of the subject of the certificate: www.server.com
Enter a dnsName of the subject of the certificate: 
Enter the IP address of the subject of the certificate: 
Will the certificate be used for signing (DHE and RSA-EXPORT ciphersuites)? (y/N): 
Will the certificate be used for encryption (RSA ciphersuites)? (y/N): y
(...)
Is the above information ok? (y/N): y


Signing certificate...

Das Zertifikat für den Server wird angelegt und funktionert auch wunderbar - z.B. mit Apache. Bei Schritt 4 würde ich jedoch erwarten, dass ich nach dem Passwort gefragt werde welches ich bei Schritt 1 definiert habe - das passiert nicht.

Daher meine Fragen:

• Warum werde ich beim signieren eines neuen Zertifikats nicht nach dem Passwort der CA gefragt?

  • Anders formuliert: Wozu ist das Passwort gut wenn ich es danach nie wieder eingeben muss?

• Warum kann ich bei Schritt 2 überhaupt ein PW für das CA-Zertifikat hinterlegen?

  • Eigentlich würde ein PW für den CA-Key doch ausreichen?

Vielen Dank schon mal Shilong

Ich habe die selbe Frage auch im Englisch-sprachigen Forum gestellt, bisher ebenfalls ohne Antwort:

http://ubuntuforums.org/showthread.php?t=2007162

Da mir das ganze doch ziemlich Sicherheits-relevant erscheint habe ich einen Bugreport erstellt - allerdings auch hier noch keine Reaktion erhalten:

https://bugs.launchpad.net/ubuntu/+source/gnutls26/+bug/1015919