[linux-support] Openssl ipsec und freeswan

Daemen Martin daemen.martin@bergersysteme.com
Tue Dec 17 18:47:41 2002


Hi Liste, 

Ich habe eine generelle Frage zum erstellen von Certificaten mit openssl. Ich benutze openssl 0.96b und freeswan 1.99

Ich habe zum einen einen Artikel aus der CT (c´t 5/2002) genommen und den Bericht von Nate Carlson auf der StrongSec Seite. Was mich dabei wundert ist, dass die Ergebnisse andere sind. 

Nach Nate Carlson muss man 'nur' seine CA aufsetzen und dann die Certificate erstellen.

./CA.sh -newreq (erstellt das key paar und den Cert Request ?!) und dann noch ./CA.sh -sign (unterschreibt den Request mit dem private Key der CA ?! ).
Danach muss man nur noch den Cert.Req auf die Key Informationen reduzieren und man hat ein Certificat = newcert.pem und den key = newRey.pem. Oder habe ich das jetzt falsch verstanden ? Ich habe nach dieser Anleitung auch einen Gateway - Gateway Verbindung aufgebaut die eigentlich tadellos läuft.

Wenn ich mir jetzt das neue Cert ansehe, dann sieht das etwa so aus :

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 7 (0x7)
        Signature Algorithm: md5WithRSAEncryption
        Issuer: CŪ, ST=Dxxx, L=Sxxx, O=Bxxx, OU=BxxxCA, CN=Martin Daemen/Email=daemen.mart
        Validity
            Not Before: Dec 17 13:27:08 2002 GMT
            Not After : Dec 16 13:27:08 2006 GMT
        Subject: CŪ, ST=Dxxx, L=Sxxx, O=Bxxx, OU=BxxxTEST, CN=Martin Daemen/Email=daemen
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:d9:4c:eb:83:27:72:06:f5:dc:e7:db:f6:7f:9c:
			|
                    2b:53:98:ce:18:78:d6:26:df:1a:a8:53:22:e4:2b:
                    4d:17
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                D1:89:D8:F1:FE:EE:9E:F1:BB:85:E9:50:B1:46:52:95:D0:D3:E3:F8
            X509v3 Authority Key Identifier:
                keyid:02:91:8D:54:34:E6:4D:18:B0:3D:30:5A:53:D2:CA:3A:04:D7:6E:DB
                DirName:/CŪ/ST=Dxxx/L=Sxxx/O=Bxxx/OU=BxxCA/CN=Martin Daemen/Email=daemen.
                serial:00

    Signature Algorithm: md5WithRSAEncryption
        7f:5d:cf:2d:5d:51:7c:e8:5c:58:26:0d:55:26:b7:5d:b7:7f:
			|
        a7:33:19:62:37:ec:f2:c6:9d:a8:eb:5c:c4:4f:6b:56:26:f6:
        46:9c:8f:03
-----BEGIN CERTIFICATE-----
MIIFDTCCA/WgAwIBAgIBBzANBgkqhkiG9w0BAQQFADCBqjELMAkGA1UEBhMCREUx
		|
Aw=-----END CERTIFICATE-----

Macht meiner Meinung ja auch Sinn, denn zumindest sowohl Informationen über den 'user' als auch über die CA müssen enthalten sein.

Jetzt wollte ich ein wenig tiefer in die Materie einsteigen und habe mir den CT Artikel genommen, indem das Aufsetzen der CA und das erstellen von Cert´s beschrieben ist.

Die CA:
Openssl genrsa -des3 -out private/cakey.pem 2048 (ersetellt dann wohl das 2048 bit Schlüsselpaar für die CA ?!)
Openssl req -new -x509 -days 1460 -key private/cakey.pem -out cacert.pem (generiert das Root Ca Cert mit einer Gültigkeit von 4 Jahren )

Das Client Cert:
Openssl genrsa -des3 -out private/test.pem 1024 (erstellt ein Schlüsselpaar mit 1024 bits)
Openssl req -new -key private/test.pem -out testReq.pem (erstellt einen Cert Request anhands des Schlüsselpaares)
Openssl ca -notext -in testReq.pem -out testCert.pem (die eigene CA unterschreibt das testReq.pem mit ihrem priv. key )

Wenn ich mir jetzt aber das neue Cert ansehe, dann schaut wie folgt aus :

-----BEGIN CERTIFICATE-----
MIIEdDCCA1ygAwIBAgIBCTANBgkqhkiG9w0BAQQFADCBqjELMAkGA1UEBhMCREUx
				|
ooPe2L6x5Der1Ie1dcLTTQAXhri53hL9oHyvxiLoUjLc3yocpn1xIg=-----END CERTIFICATE-----

Und das verstehe ich nicht, hier sind ja nur Informationen über das Cert enthalten, wo ist denn hier der quasi Stempel der CA ??

Ich sag schon mal danke !

Mit freundlichen Grüßen

Berger-EDV Systemberatungs GmbH | Martin Daemen
Dönhoffstr. 25                  | System-Engineer
42655 Solingen                  | <mailto:daemen.martin@bergersysteme.com>
http://www.bergersysteme.com    | Tel.: 0212/2681100  Fax: 0212/2681101


P.s. : Danke an Markus für den Wink bzgl. der Liste und dem subscribe *G*
-------------- next part --------------
Ein Dateianhang mit HTML-Daten wurde geschreddert...
URL: http://www.lugbe.ch/vpipermail/linux-support/attachments/20021217/3a2da568/attachment.htm