Hallo zusammen, schrieb Sven Gehr:
ich habe mir (unter SuSE-9.1) eine CA mit: ./CA.sh -newca erstellt. Anschließend habe ich mit CA.sh -newcert ein Zertifikat erstellt. Wenn ich nun versuche das Zertifikat mit: CA.sh -signcert zu signieren erhalte ich folgnde Meldung: Cert passphrase will be request twince - bug? Getting request Private Key Enter pass phrase for newreq.pem: [Passworteingabe] Generating certificate request Using configuration from /etc/ssl/openssl.conf 3011:error:0E06D06C:configuration file routines:NCONF_get_string:no value:conf_lib.c:329:group=CA_default name=unique_subject Enter pass phrase for ./demoCA/private/cakey.pem:
Wenn ich bei der zweiten Passwortabfrage das Passwort eingebe wird das Zertifikat auch signiert. Was besagt dieser Fehler? Ich muß dazusagen das ich in der Datei openssl.conf keinerlei Veränderungen vorgenommen habe.
Im LDAP-Buch habe ich in dem Kapitel wo die Zertifikaterstellung bzw. die Konfiguration von openssl.cnf behandelt wird folgende Aussage gefunden: "...Falls Sie in Ihrem Distinguished Name eine Domain Componente (dc) als Attribut verwenden, müssen sie countryName durch domainComponent ersetzen..." Mein Hauptobjekt im Verzeichnisbaum ist: dn: dc=kundennetz also trifft diese Aussage auf meine Umgebung zu, oder? Nur wie ich das genau ändern soll ist mir nicht klar. In den obernen Sketionen von openssl.conf: [ policy_match ] countryName = match [ policy_anything ] countryName = optional würde ich mal vermuten ersetze ich einfach das Wort "countryName" durch "domainComponent" In den anderen Sektionen sieht das Ganze jedoch so aus: [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = AU countryName_min = 2 countryName_max = 2 Ich denke mal nict das hier einfach der Parameter umbenannt werden kann da die domainComponent bei mir (dc=kundennetz) ja länger ist als 2 Stellen. Kann ich das einfach auf die benötigte Stellen-Anzahl ändern? Ich vermute mal das hier ebtl. der Hund begraben liegt, oder? Viele Grüße Sven