Hallo Liste, für unseren Mailserver (Postfix mit imaps / SASL/TLS) möchte ich neue Zertifikate generieren. Das geht ja mit CA.sh in /usr/share/ssl/misc Allerdings frägt es mich dauernd nach einer Passphrase, die im Serverbetrieb nicht ideal ist (weil ich dann bei jedem Neustart - oder bei jedem Mailabruf ?? - die Passphrase neu eingeben müsste). Wie bringe ich CA.sh dazu, mich die Zertifikate ohne passphrase erzeugen zu lassen - hat jemand eine Idee? Viele Grüsse Joachim
* Joachim Kieferle
Wie bringe ich CA.sh dazu, mich die Zertifikate ohne passphrase erzeugen zu lassen - hat jemand eine Idee?
Geht IMHO net. Aber Du kannst Sie nachträglich entfernen: openssl rsa -in mitpassphrase.key -out ohnepassphrase.key cheers.olli -- When I first arrived in this country I had only fifteen cents in my pocket and a willingness to compromise. -- Weber cartoon caption
Am Mon, 2002-07-01 um 18.49 schrieb Joachim Kieferle:
Hallo Liste,
Hallo Joachim,
CA.sh in /usr/share/ssl/misc
Wie bringe ich CA.sh dazu, mich die Zertifikate ohne passphrase erzeugen zu lassen - hat jemand eine Idee?
Recht einfach: bei der Frage nach der Passphrase einfach leer lassen (NULL-Passwort). Dan fragt er bei einem Neustart nicht mehr nach der Passphrase. Allerdings würde ich mir genau überlegen, was ich davon habe. Arbeite ich in einer "schutzwürdigen" Umgebung bei der eine annähernd 100% Identifikation nötig ist, würde ich lieber in den sauren Apfel beißen und bei einem Neustart den Kollegen schicken ;-)... Gruß, Uli
On 1 Jul 2002, Ulrich Klenk wrote:
Am Mon, 2002-07-01 um 18.49 schrieb Joachim Kieferle:
Hallo Liste,
Hallo Joachim,
CA.sh in /usr/share/ssl/misc
Wie bringe ich CA.sh dazu, mich die Zertifikate ohne passphrase erzeugen zu lassen - hat jemand eine Idee?
Recht einfach: bei der Frage nach der Passphrase einfach leer lassen (NULL-Passwort). Dan fragt er bei einem Neustart nicht mehr nach der Passphrase.
Hallo Uli, ... habe ich auch schon versucht, aber zum Erzeugen verlangt er unumstösslich nach einem mind. 4 Buchstaben langen Passwort. Evtl. hilft der vorhergehende Tip, die Passphrase wieder zu entfernen. Ich teste das mal gleich. Vielen Dank Joachim
Joachim Kieferle wrote:
für unseren Mailserver (Postfix mit imaps / SASL/TLS) möchte ich neue Zertifikate generieren. Das geht ja mit
CA.sh in /usr/share/ssl/misc [...] Wie bringe ich CA.sh dazu, mich die Zertifikate ohne passphrase erzeugen zu lassen - hat jemand eine Idee?
Hinter der Erzeugung des Zertifikat-Requests und des privaten Schlüssels steckt intern das Kommando `openssl req ...`. Gibt man diesem zusätzlich die Option -nodes, so wird auf die Verschlüsselung des privaten Schlüssels verzichtet und es ist kein Paßwort mehr nötig (siehe `man req`). Das läßt sich auch in den entsprechenden Aufruf in dem Skript CA.sh einbauen, bzw. wohl besser in eine Kopie davon -- immer will man die ungeschützten Schlüssel ja nicht. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
participants (4)
-
Eilert Brinkmann -
Joachim Kieferle -
Oliver Dauter -
Ulrich Klenk