[linux-support] Openssl ipsec und freeswan

Markus Wernig markus@wernig.net
Wed Dec 18 09:03:58 2002


On Tue, 2002-12-17 at 19:47, Daemen Martin wrote:
[...]
> Wenn ich mir jetzt das neue Cert ansehe, dann sieht das etwa so aus :
> 
> Certificate:
>     Data:
[...]
> -----BEGIN CERTIFICATE-----
> MIIFDTCCA/WgAwIBAgIBBzANBgkqhkiG9w0BAQQFADCBqjELMAkGA1UEBhMCREUx
> 		|
> Aw==
> -----END CERTIFICATE-----

> 
> Macht meiner Meinung ja auch Sinn, denn zumindest sowohl Informationen über den 'user' als auch über die CA müssen enthalten sein.
> 
> Jetzt wollte ich ein wenig tiefer in die Materie einsteigen und habe mir den CT Artikel genommen, indem das Aufsetzen der CA und das erstellen von Cert´s beschrieben ist.
> 
> Die CA:
> Openssl genrsa -des3 -out private/cakey.pem 2048 (ersetellt dann wohl das 2048 bit Schlüsselpaar für die CA ?!)
> Openssl req -new -x509 -days 1460 -key private/cakey.pem -out cacert.pem (generiert das Root Ca Cert mit einer Gültigkeit von 4 Jahren )
> 
> Das Client Cert:
> Openssl genrsa -des3 -out private/test.pem 1024 (erstellt ein Schlüsselpaar mit 1024 bits)
> Openssl req -new -key private/test.pem -out testReq.pem (erstellt einen Cert Request anhands des Schlüsselpaares)
> Openssl ca -notext -in testReq.pem -out testCert.pem (die eigene CA unterschreibt das testReq.pem mit ihrem priv. key )
> 
> Wenn ich mir jetzt aber das neue Cert ansehe, dann schaut wie folgt aus :
> 
> -----BEGIN CERTIFICATE-----
> MIIEdDCCA1ygAwIBAgIBCTANBgkqhkiG9w0BAQQFADCBqjELMAkGA1UEBhMCREUx
> 				|
> ooPe2L6x5Der1Ie1dcLTTQAXhri53hL9oHyvxiLoUjLc3yocpn1xIg==
> -----END CERTIFICATE-----
> 
> Und das verstehe ich nicht, hier sind ja nur Informationen über das Cert enthalten, wo ist denn hier der quasi Stempel der CA ??

Die digitale Signatur der CA ist Teil des Zertifikats. Diese wird mit
kodiert. 
Dass Du im zweiten Fall nichts siehst, liegt an dem -notext Switch. Der
besagt eben, dass keine Klartext-Information mitgeschrieben wird. Die
wird ohnehin von der Applikatiopublic n nicht verwendet. Die schaut nur
auf das Zertifikat (=signierter Public Key), und dort steht all diese
Information auch drin.

lg /markus