frank-w
Anmeldungsdatum: 30. September 2008
Beiträge: 418
|
Hallo,
ich möchte ein Self-Signed Zertifikat erstellen inkl. eigener Root-CA. dazu habe ich mich (neben anderen Anleitungen) an diese Anleitung gehalten:
https://thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-zertifikate-ausstellen/ für das multidomain habe ich mich hier informiert:
http://apetec.com/support/generatesan-csr.htm
→ das funktioniert erstmal super. nun zur Root-CA...das einzige, was ich an obiger Anleitung verändert habe ist das änhängen des config-Parameters beim Erstellen der Zertifikat-key.pem
openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512 -config zertifikat.cnf
wird aber scheinbar ignoriert lt. test mit openssl am ende... wobei die zertifikat.cnf so erstellt wurde:
cp /etc/ssl/openssl.cnf zertifikat.cnf
nano zertifikat.cnf
#Änderungen:
[req]
req_extensions = v3_req
[ v3_req ]
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.blah.loc
DNS.2 = blah.no-ip.org
DNS.3 = blah.ddnss.de Es läuft alles fehlerfrei durch und ich kann das Zertifikat auch im Lighttpd (zertifikat-key.pem an pub angehängt) verwenden. CADroid sagt mir CA-Flag ist false/nicht gesetzt
bei
openssl x509 -in zertifikat-pub.pem -noout -text
taucht CA nirgends auf wenn ich das Zertifikat selbst so erstelle, sind zwar die alternativen Domains drin, aber auch das CA-Flag=false
openssl x509 -req -days 3650 -in zertifikat.csr -signkey zertifikat-key.pem -out zertifikat.crt -extensions v3_req -extfile zertifikat.cnf -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial getestet mit "openssl x509 -in zertifikat.crt -noout -text"
die ca-root.pem hat das ca-flag auf True...soweit scheint es zu passen...ich bekomme halt nur die ca-root.pem und das zertifikat.csr nicht zusammen... openssl req -text -noout -in zertifikat.csr
...
Requested Extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:www.blah.loc, DNS:blah.no-ip.org, DNS:blah.ddnss.de
...
openssl x509 -in ca-root.pem -noout -text
...
X509v3 Basic Constraints:
CA:TRUE
... nach weiteren Recherchen und durchschauen der Config denke ich, dass nur das root-Zertifikat das CA-Flag auf true haben soll...also habe ich das erstellte verwendet und im Lighttpd die ca-root.pem als ssl.ca-file angegeben.
nun bekomme ich im Firefox den SSL-Fehler "SEC_ERROR_EXTENSION_VALUE_INVALID"...irgendwas läuft da falsch ☹ gibt es nirgends mal eine funtkionierende Anleitung wie man multidomain mit eigener Root-CA zum laufen bekommt? Gruß Frank
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
frank-w schrieb: nach weiteren Recherchen und durchschauen der Config denke ich, dass nur das root-Zertifikat das CA-Flag auf true haben soll...
Durchaus, das macht ein CA-Zertifikat aus 😉
also habe ich das erstellte verwendet und im Lighttpd die ca-root.pem als ssl.ca-file angegeben.
Das bringt nichts, du hast ja keine Zertifikatskette. Du musst das CA-Zertifikat einfach auf dem Client hinterlegen.
nun bekomme ich im Firefox den SSL-Fehler "SEC_ERROR_EXTENSION_VALUE_INVALID"...irgendwas läuft da falsch ☹ gibt es nirgends mal eine funtkionierende Anleitung wie man multidomain mit eigener Root-CA zum laufen bekommt?
Wie sieht das Zertifikat denn nun genau aus? Zeig mal alle enthaltenen Extensions.
|
frank-w
(Themenstarter)
Anmeldungsdatum: 30. September 2008
Beiträge: 418
|
im public-Zertifikat fehlt der extension-Teil scheinbar komplett...ich habe mal die Dateien hochgeladen ( sind ja aktuell nur Test ☺ ) openssl x509 -in zertifikat.crt -noout -text
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
af:d0:b0:13:16:6f:54:fb
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=DE, ST=BY, L=Bamberg, O=private, OU=local, CN=www.blah.loc/emailAddress=test@test.de
Validity
Not Before: Nov 6 17:12:37 2016 GMT
Not After : Nov 4 17:12:37 2026 GMT
Subject: C=DE, ST=BY, L=Bamberg, O=private, OU=local, CN=www.blah.loc/emailAddress=test@test.de
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Modulus:
00:e8:a2:3f:f2:23:3b:f3:c4:67:32:10:d3:c1:e7:
d5:62:21:bc:41:e3:06:a9:06:3e:ba:80:b5:68:5f:
3a:b8:3b:f2:43:02:3f:69:4a:88:99:0d:5a:48:c5:
9b:bc:1d:b4:87:a9:77:af:e2:59:df:eb:e6:5a:1d:
96:3a:ac:23:c2:24:07:cd:97:62:69:f3:b0:4c:e9:
5c:87:90:59:95:77:65:0d:66:40:8c:00:c4:16:66:
8b:2d:27:00:91:0f:2c:15:3b:c3:4a:76:6f:36:3d:
62:6f:ff:cc:73:4c:72:9e:db:78:9e:06:ef:7f:1f:
2f:5f:e4:a2:37:f7:27:ad:35:96:49:9e:3b:54:7b:
3b:52:13:5a:cd:2b:f5:9a:1e:ea:fa:8c:5b:d7:00:
05:ba:5e:89:d6:77:a0:09:94:4d:51:f7:90:07:f9:
bb:10:ff:b1:86:0c:53:2e:3c:d8:4c:ae:d8:f4:e6:
aa:79:17:65:e7:a0:78:46:e1:4c:f7:01:a2:9c:3d:
07:7b:76:ae:ca:b4:4c:4e:df:0d:26:13:18:1b:19:
0f:16:46:6f:d7:44:c4:2e:d4:fb:65:f4:bc:ae:37:
a5:14:58:c9:41:7d:a7:15:5e:cd:95:4d:5e:e8:71:
75:4b:9a:d5:c9:27:fb:41:9c:57:fd:0a:0f:5c:ea:
b2:7c:5f:10:d5:80:88:50:ef:36:c1:a9:85:44:30:
c4:24:64:79:36:26:c8:a6:96:26:e6:b6:15:08:f8:
db:33:76:32:33:ed:f0:9b:13:e0:61:ba:59:59:5f:
88:fb:2c:b4:1e:bc:ad:0d:66:81:8d:97:9e:ea:2a:
d5:0c:8c:38:b4:85:d5:a7:00:ca:01:75:61:32:1c:
c1:ef:cb:f4:5e:b8:bd:5a:c8:13:8e:a2:04:78:35:
fc:4c:b5:50:6a:5d:38:2a:cd:f8:a8:94:44:ff:8d:
a4:05:2b:7b:e5:e9:1a:63:f3:b7:12:1c:ff:a7:6e:
ca:fd:06:5d:79:5d:34:50:38:0e:f0:8f:fb:e1:34:
1f:39:db:76:2a:de:7d:2c:84:ef:64:7b:b7:7c:78:
eb:73:c6:87:42:8a:03:20:97:d9:e7:39:b4:36:3f:
3e:7c:38:f2:44:65:d4:ca:44:b7:da:8d:a1:11:c6:
39:cd:2f:15:df:70:cf:b2:7e:eb:70:e2:f8:70:71:
6c:df:5a:93:b6:b2:70:0d:9b:b6:ee:5e:e1:1c:6f:
f5:57:b9:4e:b5:28:7e:ba:42:83:9c:21:2f:3e:00:
66:1d:2c:77:24:7e:56:97:52:99:8b:80:4e:ee:4f:
c3:26:54:6f:34:78:b1:47:01:1c:48:e3:94:9f:af:
79:81:e3
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:TRUE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:www.blah.loc, DNS:blah.no-ip.org, DNS:blah.ddnss.de
X509v3 Basic Constraints:
CA:TRUE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:www.blah.loc, DNS:blah.no-ip.org, DNS:blah.ddnss.de
Signature Algorithm: sha256WithRSAEncryption
ae:04:39:fb:50:4f:0c:fa:36:fb:b5:d5:92:6f:5f:8c:8f:ba:
b7:71:d9:e3:a5:c2:87:0e:2c:35:22:19:1c:5d:b4:3e:e4:fb:
fc:b8:a9:85:24:6a:7f:c6:cb:cf:97:e5:4a:f0:ee:ea:18:30:
75:13:45:0c:01:16:d3:73:3c:ee:af:58:11:8f:c7:da:5b:bd:
e6:a1:6c:5b:d7:4a:35:78:19:15:fe:a0:e9:74:82:a6:4f:5a:
fe:40:6a:f0:de:bf:73:8e:a8:0d:09:45:58:e4:6d:56:49:c2:
b3:6e:ed:c4:f1:1d:03:eb:8a:bb:97:97:90:f7:f1:18:5e:5d:
3d:d2:84:f0:cc:54:60:7f:62:21:e8:10:eb:3e:cf:d9:3e:ee:
88:68:53:f7:f6:a8:4d:48:ac:4d:ae:f4:17:aa:c9:32:20:76:
05:b4:f5:29:66:c0:b6:9d:be:8d:07:d6:b8:dd:08:f6:03:e5:
fa:ca:ed:36:c7:5b:44:1f:81:c3:0d:8c:b3:40:00:fb:e2:dd:
eb:27:c7:43:72:bc:1f:b9:fe:72:d7:44:b2:7e:a2:93:fa:64:
7a:3d:12:78:1a:71:33:7d:a4:5a:2a:b2:1f:e1:69:50:1f:3c:
55:5a:e5:48:b6:4d:33:8b:5c:58:9f:82:19:69:f9:a0:4c:ad:
8f:4c:01:f2
openssl x509 -in zertifikat-pub.pem -noout -text
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
af:d0:b0:13:16:6f:54:fa
Signature Algorithm: sha512WithRSAEncryption
Issuer: C=DE, ST=BY, L=Bamberg, O=private, OU=local, CN=www.blah.loc/emailAddress=test@test.de
Validity
Not Before: Nov 6 17:11:08 2016 GMT
Not After : Nov 6 17:11:08 2017 GMT
Subject: C=DE, ST=BY, L=Bamberg, O=private, OU=local, CN=www.blah.loc/emailAddress=test@test.de
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (4096 bit)
Modulus:
00:e8:a2:3f:f2:23:3b:f3:c4:67:32:10:d3:c1:e7:
d5:62:21:bc:41:e3:06:a9:06:3e:ba:80:b5:68:5f:
3a:b8:3b:f2:43:02:3f:69:4a:88:99:0d:5a:48:c5:
9b:bc:1d:b4:87:a9:77:af:e2:59:df:eb:e6:5a:1d:
96:3a:ac:23:c2:24:07:cd:97:62:69:f3:b0:4c:e9:
5c:87:90:59:95:77:65:0d:66:40:8c:00:c4:16:66:
8b:2d:27:00:91:0f:2c:15:3b:c3:4a:76:6f:36:3d:
62:6f:ff:cc:73:4c:72:9e:db:78:9e:06:ef:7f:1f:
2f:5f:e4:a2:37:f7:27:ad:35:96:49:9e:3b:54:7b:
3b:52:13:5a:cd:2b:f5:9a:1e:ea:fa:8c:5b:d7:00:
05:ba:5e:89:d6:77:a0:09:94:4d:51:f7:90:07:f9:
bb:10:ff:b1:86:0c:53:2e:3c:d8:4c:ae:d8:f4:e6:
aa:79:17:65:e7:a0:78:46:e1:4c:f7:01:a2:9c:3d:
07:7b:76:ae:ca:b4:4c:4e:df:0d:26:13:18:1b:19:
0f:16:46:6f:d7:44:c4:2e:d4:fb:65:f4:bc:ae:37:
a5:14:58:c9:41:7d:a7:15:5e:cd:95:4d:5e:e8:71:
75:4b:9a:d5:c9:27:fb:41:9c:57:fd:0a:0f:5c:ea:
b2:7c:5f:10:d5:80:88:50:ef:36:c1:a9:85:44:30:
c4:24:64:79:36:26:c8:a6:96:26:e6:b6:15:08:f8:
db:33:76:32:33:ed:f0:9b:13:e0:61:ba:59:59:5f:
88:fb:2c:b4:1e:bc:ad:0d:66:81:8d:97:9e:ea:2a:
d5:0c:8c:38:b4:85:d5:a7:00:ca:01:75:61:32:1c:
c1:ef:cb:f4:5e:b8:bd:5a:c8:13:8e:a2:04:78:35:
fc:4c:b5:50:6a:5d:38:2a:cd:f8:a8:94:44:ff:8d:
a4:05:2b:7b:e5:e9:1a:63:f3:b7:12:1c:ff:a7:6e:
ca:fd:06:5d:79:5d:34:50:38:0e:f0:8f:fb:e1:34:
1f:39:db:76:2a:de:7d:2c:84:ef:64:7b:b7:7c:78:
eb:73:c6:87:42:8a:03:20:97:d9:e7:39:b4:36:3f:
3e:7c:38:f2:44:65:d4:ca:44:b7:da:8d:a1:11:c6:
39:cd:2f:15:df:70:cf:b2:7e:eb:70:e2:f8:70:71:
6c:df:5a:93:b6:b2:70:0d:9b:b6:ee:5e:e1:1c:6f:
f5:57:b9:4e:b5:28:7e:ba:42:83:9c:21:2f:3e:00:
66:1d:2c:77:24:7e:56:97:52:99:8b:80:4e:ee:4f:
c3:26:54:6f:34:78:b1:47:01:1c:48:e3:94:9f:af:
79:81:e3
Exponent: 65537 (0x10001)
Signature Algorithm: sha512WithRSAEncryption
78:80:e2:63:79:2a:6b:23:ec:77:b9:c7:07:04:8d:4f:4c:a7:
47:9b:f6:5a:60:10:b2:92:1d:9e:cd:bf:c6:14:a4:18:1d:8a:
6a:fd:ad:42:5f:6f:e0:b7:c6:01:ca:e2:db:a8:bb:72:a5:d9:
92:04:74:92:e4:fe:20:5b:a3:df:f8:f3:f6:41:ce:74:47:6a:
56:6b:d2:15:1d:01:38:9f:66:2f:d4:38:44:a3:1d:92:5d:f5:
16:61:2a:93:f9:e8:4f:bc:62:23:88:94:3e:bb:e6:2b:7c:18:
48:d4:86:a9:fd:2c:7f:65:58:70:17:9e:2f:93:a6:cd:7d:25:
b5:30:34:67:ac:73:e0:43:07:c8:91:59:f1:10:b3:90:30:d1:
10:95:97:04:cb:62:a8:f1:ec:57:0d:49:11:69:f0:e6:e9:3f:
5a:80:84:b4:a2:02:a4:d4:86:df:70:eb:f3:0c:44:24:66:e4:
86:e2:fc:fe:67:9a:aa:bd:67:01:84:e5:cd:0b:16:b0:7d:9e:
cc:5a:7e:04:cf:45:03:81:47:17:a4:98:61:c6:da:a4:35:62:
16:03:f4:32:10:25:47:15:bd:55:93:cc:6b:0c:e3:28:d5:a3:
c8:b0:4a:d5:62:2b:02:fd:ea:31:ba:ee:66:aa:3b:38:d8:cc:
fa:46:d8:e7
- zertifikat.tar.gz (9.4 KiB)
- Download zertifikat.tar.gz
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
frank-w schrieb: im public-Zertifikat fehlt der extension-Teil scheinbar komplett...
Was soll denn ein Public-Zertifikat sein? Ich denke du hast hier noch ein grundlegendes Verständnisproblem, und nicht nur Probleme bei der Terminologie.
X509v3 extensions:
X509v3 Basic Constraints:
CA:TRUE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:www.blah.loc, DNS:blah.no-ip.org, DNS:blah.ddnss.de
Das hier macht keinen Sinn. Das Zertifikat hat das CA-Bit gesetzt, hat aber gleichzeitig auch SubjectAlternativeNames. Das ist auch der Grund warum die Browser das Zertifikat ablehnen. Am besten du liest dir die Anleitung nochmal genau durch und vollziehst alles nach, was gemacht wird. Hier sind weitere hilfreiche Links zum generellen Verständnis, welches bei dieser Sache unabdingbar ist:
Es gibt auch Skripte, die dir bei der Verwaltung einer eigenen CA helfen. Hier im Wiki gibt es dazu eine Anleitung.
|
frank-w
(Themenstarter)
Anmeldungsdatum: 30. September 2008
Beiträge: 418
|
danke dir Mister Unknown,
das mit dem CA-Flag im Zertifikat ist scheinbar noch von einem Test gewesen...hatte in der config den entsprechenden (falschen) Parameter (gibt es mehrmals für die diversen Abschnitte der Zertifikatskette) geändert gehabt. mit Public-zertifikat meine ich das, was der http-Server bekommt...nicht das root-zetifikat halt ☺ habe mich von dem Name in der Anleitung zertifikat-pub bisschen irritieren lassen, sorry reicht es, wenn ich die alternative-Names im CSR definiere, oder brauche ich die noch irgendwo? | openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512
|
in kombination mit
| openssl req -new -key endpoint.com.key -sha256 -nodes
-subj '/C=US/ST=New York/L=New York/O=End Point/OU=Hosting Team/CN=www.endpoint.com/
emailAddress=administrative-not-existent-address@our-awesome-domain.com/
subjectAltName=DNS.1=endpoint.com,
DNS.2=usually-not-convered-domain.endpoint.com,
DNS.3=multiple-domains-crt.endpoint.com' > www.endpoint.com.
|
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
frank-w schrieb: reicht es, wenn ich die alternative-Names im CSR definiere, oder brauche ich die noch irgendwo?
Nein, die brauchst du an sich nur dort.
| openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512
|
Hier erstellst du einen CSR ohne SubjectAlternativeName.
| openssl req -new -key endpoint.com.key -sha256 -nodes
-subj '/C=US/ST=New York/L=New York/O=End Point/OU=Hosting Team/CN=www.endpoint.com/
emailAddress=administrative-not-existent-address@our-awesome-domain.com/
subjectAltName=DNS.1=endpoint.com,
DNS.2=usually-not-convered-domain.endpoint.com,
DNS.3=multiple-domains-crt.endpoint.com' > www.endpoint.com.
|
Wo hast du denn diesen Befehl her? Der macht Null Sinn. Das müsstest du auch sehen, wenn du den CSR damit erstellst: Die SubjectAlternativeNames sind da nicht dabei, sondern stehen irgendwo im Subject mit drin.
|
frank-w
(Themenstarter)
Anmeldungsdatum: 30. September 2008
Beiträge: 418
|
http://blog.endpoint.com/2014/10/openssl-csr-with-alternative-names-one.html werden doch mit dem Parameter -subj übergeben... so wie ich das sehe, kann ich die Alternative-Names nur via config/extfile (vorher) übergeben oder parameter (hier). um eine falsche konfig zu vermeiden, probiere ich halt über definierte Parameter
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
frank-w schrieb: http://blog.endpoint.com/2014/10/openssl-csr-with-alternative-names-one.html
Also es gibt im Post einen Hinweis, dass die Zertifikate nicht x509v3 konform sind. Bei mir hier mit Openssl 1.0.1t lässt sich das so aber gar nicht machen. Es fällt zwar ein Zertifikat raus, aber ohne Extensions, also auch ohne SANs.
werden doch mit dem Parameter -subj übergeben...
… der für das Subject zuständig ist, und nicht für Extensions.
so wie ich das sehe, kann ich die Alternative-Names nur via config/extfile (vorher) übergeben oder parameter (hier).
Nein, per Parameter können Extensions nicht angegeben werden. Nur per Config beim Erstellen des CSR oder beim signen via Extension-File.
|
frank-w
(Themenstarter)
Anmeldungsdatum: 30. September 2008
Beiträge: 418
|
ok, dann muss ich also über die Konfig-Variante gehen...also nochmal neu kopieren und die ganzen Änderungen reinbasteln
analog zu der Anleitung: http://apetec.com/support/generatesan-csr.htm und in der Anleitung das Erstellen des CSR
openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512
durch
openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512 -config openssl.cnf
ersetzen glaube ich habe bei meinem letzten Versuch die Konfig noch zusätzlich irgendwo als extfile definiert...vielleicht hats deshalb nicht geklappt kann ich per commandline irgendwie testen, ob das Zertifikat in zusammenhang mit dem RootCA gültig ist? das subject selbst kann ich aber per Parameter übergeben, oder? also die Angaben, die normal abgefragt werden (u.a. CommonName) Edit:
habe mich jetzt streng an die obige deutsche Anleitung gehalten, nur mit der oben angegeben Änderung (und neuer Konfig mit Änderungen aus der englischen Anleitung)...in der CSR sind die alt-names drin, im zertifikat nicht btw. musste für den lighttpd noch den private-key ins zertifikat schreiben (nicht in der Anleitung). im Ganzen sieht das so aus:
cp /etc/ssl/openssl.cnf ./test.cnf
#http://apetec.com/support/generatesan-csr.htm
#https://thomas-leister.de/eine-eigene-openssl-ca-erstellen-und-zertifikate-ausstellen/
#root-ca
openssl genrsa -aes256 -out ca-key.pem 2048
openssl req -x509 -new -nodes -extensions v3_ca -key ca-key.pem -days 1024 -out ca-root.pem -sha512 -subj '/C=DE/ST=BY/L=Bamberg/O=private/OU=local/CN=www.blah.loc/emailAddress=frank@blah.loc'
#cert
openssl genrsa -out zertifikat-key.pem 4096
openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512 -config test.cnf
openssl x509 -req -in zertifikat.csr -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial -out zertifikat-pub.pem -days 365 -sha512
#lighttpd
cat zertifikat-key.pem zertifikat-pub.pem >zertifikat.pem
#tests
openssl req -text -noout -in zertifikat.csr
Certificate Request:
Data:
Version: 0 (0x0)
Subject: C=DE, ST=BY, L=Bamberg, O=private, OU=local, CN=www.blah.loc/emailAddress=frank@blah.loc
...
Attributes:
Requested Extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:www.blah.loc, DNS:blah.no-ip.org, DNS:blah.ddnss.de, IP Address:192.168.0.5
...
openssl x509 -in zertifikat-pub.pem -noout -text
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
81:7f:e0:31:d6:e6:29:ef
Signature Algorithm: sha512WithRSAEncryption
Issuer: C=DE, ST=BY, L=Bamberg, O=private, OU=local, CN=www.blah.loc/emailAddress=frank@blah.loc
Validity
Not Before: Nov 10 18:01:27 2016 GMT
Not After : Nov 10 18:01:27 2017 GMT
Subject: C=DE, ST=BY, L=Bamberg, O=private, OU=local, CN=www.blah.loc/emailAddress=frank@blah.loc
Subject Public Key Info:
... warum sind die anderen DNS-Einträge wieder weg? Bei der englischen Anleitung wird das Zertifikat anders (nicht mit ca und mit der konfig per "-extfile openssl.cnf" signiert)
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
frank-w schrieb: ok, dann muss ich also über die Konfig-Variante gehen...
...
glaube ich habe bei meinem letzten Versuch die Konfig noch zusätzlich irgendwo als extfile definiert...vielleicht hats deshalb nicht geklappt
Wie gesagt, es geht entweder mit der Config beim Erstellen des CSR oder mit einem Extfile beim signen des CSR.
kann ich per commandline irgendwie testen, ob das Zertifikat in zusammenhang mit dem RootCA gültig ist?
openssl verify -CAfile <Root-Zertifikat> <Zertifikat>
das subject selbst kann ich aber per Parameter übergeben, oder? also die Angaben, die normal abgefragt werden (u.a. CommonName)
Ja.
warum sind die anderen DNS-Einträge wieder weg?
Weil du Blödsinn in der subjectAltName Extension stehen hast.
Bei der englischen Anleitung wird das Zertifikat anders (nicht mit ca und mit der konfig per "-extfile openssl.cnf" signiert)
Ja, das geht auch.
|
frank-w
(Themenstarter)
Anmeldungsdatum: 30. September 2008
Beiträge: 418
|
misterunknown Weil du Blödsinn in der subjectAltName Extension stehen hast.
was ist blödsinn? Meine TLD ".loc"? Ist halt der interne Domainname,welcher auf die lan-ip umgesetzt wird...macht openssl ein dns-lookup?
(Habe domainname zum test überall auf "blah" geändert. Bei der englischen Anleitung wird das Zertifikat anders (nicht mit ca und mit der konfig per "-extfile openssl.cnf" signiert)
Ja, das geht auch.
brauche ich dann beides?
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
frank-w schrieb: was ist blödsinn? Meine TLD ".loc"? Ist halt der interne Domainname,welcher auf die lan-ip umgesetzt wird...macht openssl ein dns-lookup?
Nein, aber eine Extension mit dem Name "IP Address" gibt es nicht. Wenn, dann heißt es einfach "IP:x.x.x.x".
brauche ich dann beides?
Nein.
|
frank-w
(Themenstarter)
Anmeldungsdatum: 30. September 2008
Beiträge: 418
|
Wo hast du "ip adress" gefunden? Ich habe nur "IP.1 = 192.168.0.5" bei den alt-names drin...wie auch in der englischen Anleitung.
Ich kanns aber mal ohne Probieren...
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
frank-w schrieb: Wo hast du "ip adress" gefunden? Ich habe nur "IP.1 = 192.168.0.5" bei den alt-names drin...wie auch in der englischen Anleitung.
X509v3 Subject Alternative Name:
DNS:www.blah.loc, DNS:blah.no-ip.org, DNS:blah.ddnss.de, IP Address:192.168.0.5
Ich bin mir jetzt nicht sicher, ob das nur eine Formatiertung von OpenSSL ist.
|
frank-w
(Themenstarter)
Anmeldungsdatum: 30. September 2008
Beiträge: 418
|
openssl x509 -req -in zertifikat.csr -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial -out zertifikat-pub.pem -days 365 -sha512 -extensions v3_req -extfile test.cnf
openssl x509 -in zertifikat-pub.pem -noout -text
...
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:www.blah.loc, DNS:blah.no-ip.org, DNS:blah.ddnss.de
...
openssl verify -CAfile ca-root.pem zertifikat-pub.pem
zertifikat-pub.pem: OK scheint so, als braucht man das extfile oder den -extensions-parameter...jetzt nochmal mit IP... openssl req -new -key zertifikat-key.pem -out zertifikat.csr -sha512 -config test.cnf
openssl x509 -req -in zertifikat.csr -CA ca-root.pem -CAkey ca-key.pem -CAcreateserial -out zertifikat-pub.pem -days 365 -sha512 -extensions v3_req -extfile test.cnf
openssl x509 -in zertifikat-pub.pem -noout -text
...
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:www.blah.loc, DNS:blah.no-ip.org, DNS:blah.ddnss.de, IP Address:192.168.0.5
...
openssl verify -CAfile ca-root.pem zertifikat-pub.pem
zertifikat-pub.pem: OK wenn man dem open-SSL-Befehl trauen kann, sollte jetzt alles stimmen...dann versuche ich das jetzt mal mit den richtigen Domain-Namen 😉 und der Integration in den Lighttpd. Bisher funktioniert alles, habe auch das root-zetifikat in Android installieren können. im GIT (mgit) kann ich jetzt auch https nutzen (dafür der ganze Aufwand). im Firefox (ubuntu+android) kommt aber weiterhin die Meldung, dass das Zertifikat self-signed ist (somit ungültig). Habe natürlich das root-zertifikat wie in CA beschrieben importiert (fehlerfrei durchgelaufen). unter Android habe ich schon rebootet...mal schauen, obs bei Ubuntu auch nötig ist. edit: mhm...Firefox unter Ubuntu und Windows hat seine eigene Zertifikatsverwaltung in den Einstellungen...wenn ich dort das CA-Zertifikat importiere ist alles super...mal schauen, wie ich das unter Android mache
|