[linux-support] Openssl ipsec und freeswan
Daemen Martin
daemen.martin@bergersysteme.com
Tue Dec 17 18:47:41 2002
Hi Liste,
Ich habe eine generelle Frage zum erstellen von Certificaten mit openssl. Ich benutze openssl 0.96b und freeswan 1.99
Ich habe zum einen einen Artikel aus der CT (c´t 5/2002) genommen und den Bericht von Nate Carlson auf der StrongSec Seite. Was mich dabei wundert ist, dass die Ergebnisse andere sind.
Nach Nate Carlson muss man 'nur' seine CA aufsetzen und dann die Certificate erstellen.
./CA.sh -newreq (erstellt das key paar und den Cert Request ?!) und dann noch ./CA.sh -sign (unterschreibt den Request mit dem private Key der CA ?! ).
Danach muss man nur noch den Cert.Req auf die Key Informationen reduzieren und man hat ein Certificat = newcert.pem und den key = newRey.pem. Oder habe ich das jetzt falsch verstanden ? Ich habe nach dieser Anleitung auch einen Gateway - Gateway Verbindung aufgebaut die eigentlich tadellos läuft.
Wenn ich mir jetzt das neue Cert ansehe, dann sieht das etwa so aus :
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 7 (0x7)
Signature Algorithm: md5WithRSAEncryption
Issuer: CŪ, ST=Dxxx, L=Sxxx, O=Bxxx, OU=BxxxCA, CN=Martin Daemen/Email=daemen.mart
Validity
Not Before: Dec 17 13:27:08 2002 GMT
Not After : Dec 16 13:27:08 2006 GMT
Subject: CŪ, ST=Dxxx, L=Sxxx, O=Bxxx, OU=BxxxTEST, CN=Martin Daemen/Email=daemen
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:d9:4c:eb:83:27:72:06:f5:dc:e7:db:f6:7f:9c:
|
2b:53:98:ce:18:78:d6:26:df:1a:a8:53:22:e4:2b:
4d:17
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
D1:89:D8:F1:FE:EE:9E:F1:BB:85:E9:50:B1:46:52:95:D0:D3:E3:F8
X509v3 Authority Key Identifier:
keyid:02:91:8D:54:34:E6:4D:18:B0:3D:30:5A:53:D2:CA:3A:04:D7:6E:DB
DirName:/CŪ/ST=Dxxx/L=Sxxx/O=Bxxx/OU=BxxCA/CN=Martin Daemen/Email=daemen.
serial:00
Signature Algorithm: md5WithRSAEncryption
7f:5d:cf:2d:5d:51:7c:e8:5c:58:26:0d:55:26:b7:5d:b7:7f:
|
a7:33:19:62:37:ec:f2:c6:9d:a8:eb:5c:c4:4f:6b:56:26:f6:
46:9c:8f:03
-----BEGIN CERTIFICATE-----
MIIFDTCCA/WgAwIBAgIBBzANBgkqhkiG9w0BAQQFADCBqjELMAkGA1UEBhMCREUx
|
Aw=-----END CERTIFICATE-----
Macht meiner Meinung ja auch Sinn, denn zumindest sowohl Informationen über den 'user' als auch über die CA müssen enthalten sein.
Jetzt wollte ich ein wenig tiefer in die Materie einsteigen und habe mir den CT Artikel genommen, indem das Aufsetzen der CA und das erstellen von Cert´s beschrieben ist.
Die CA:
Openssl genrsa -des3 -out private/cakey.pem 2048 (ersetellt dann wohl das 2048 bit Schlüsselpaar für die CA ?!)
Openssl req -new -x509 -days 1460 -key private/cakey.pem -out cacert.pem (generiert das Root Ca Cert mit einer Gültigkeit von 4 Jahren )
Das Client Cert:
Openssl genrsa -des3 -out private/test.pem 1024 (erstellt ein Schlüsselpaar mit 1024 bits)
Openssl req -new -key private/test.pem -out testReq.pem (erstellt einen Cert Request anhands des Schlüsselpaares)
Openssl ca -notext -in testReq.pem -out testCert.pem (die eigene CA unterschreibt das testReq.pem mit ihrem priv. key )
Wenn ich mir jetzt aber das neue Cert ansehe, dann schaut wie folgt aus :
-----BEGIN CERTIFICATE-----
MIIEdDCCA1ygAwIBAgIBCTANBgkqhkiG9w0BAQQFADCBqjELMAkGA1UEBhMCREUx
|
ooPe2L6x5Der1Ie1dcLTTQAXhri53hL9oHyvxiLoUjLc3yocpn1xIg=-----END CERTIFICATE-----
Und das verstehe ich nicht, hier sind ja nur Informationen über das Cert enthalten, wo ist denn hier der quasi Stempel der CA ??
Ich sag schon mal danke !
Mit freundlichen Grüßen
Berger-EDV Systemberatungs GmbH | Martin Daemen
Dönhoffstr. 25 | System-Engineer
42655 Solingen | <mailto:daemen.martin@bergersysteme.com>
http://www.bergersysteme.com | Tel.: 0212/2681100 Fax: 0212/2681101
P.s. : Danke an Markus für den Wink bzgl. der Liste und dem subscribe *G*
-------------- next part --------------
Ein Dateianhang mit HTML-Daten wurde geschreddert...
URL: http://www.lugbe.ch/vpipermail/linux-support/attachments/20021217/3a2da568/attachment.htm