Hallo, schrieb Dieter Kluenter:
schrieb Sven Gehr:
CONNECTED(00000003) depth=0 /C=de/ST=baden/L=mannheim/O=kundenname/OU=kundennetz/CN=testserver. kundennetz verify error:num=20:unable to get local issure certificate verify return:1 depth=0 /C=de/ST=baden/L=mannheim/O=kundenname/OU=kundennetz/CN=testserver. kundennetz verify error:num=21:unable to verify the first certificate
Da sehe ich gerade eine weitere mögliche Fehlerquelle. Du hast im Server-Zertifikat als Host 'testserver.kundennetz' eingetragen, ist das der Hostname und die Domain die über die Funktion 'gethostbyname' aufgelöst werden können? Andernfalls wird die TLS Verbindung vom Client verweigert.
das ist der FQDN der läßt sich über nsloockup auflösen. Der Befehl 'gethostbyname' existiert auf meinem System nicht. Wenn ich jedoch ein: getent hosts mache bekomme ich die Ausgabe: 127.0.0.1 localhost 192.168.1.1 testserver.kundennetz testserver
Noch eine weitere mögliche Fehlerquelle fält mir ein. Du setzt möglicherweise openssl-0.9.7 ein.
Ich benutze die Version 0.9.7d
Meine CA.pl Beispiele wurden mit openssl-0.9.6g erstellt. Bei openssl-0.9.7 müssen andere Paramter aufgerufen werden. CA.pl -newca CA.pl -newreq CA.pl -sign
Ok, ich habe folgendes gemacht. Alle Dateien wieder entfernt und die Zertifikat- und CA Erstellung nochmal von vorne: ./CA.sh -newca ./CA.sh -newreq ./CA.sh -sign openssl rsa -in newreq.pem -out ldapkey.pem mv newcert.pem ldapcert.pem ./CA.sh -verify ldapcert --> ok
Alles andere ist noch gültig. Mit den von mir zitierten Parametern -newcert und -signcert wird jetzt ein 'self signed certificate' erstellt. Ich habe das nicht geprüft, aber möglicherweise wird hierbei cacert.pem nicht zum signieren benutzt.
Jedoch bringt 'openssl s_client -connect localhost:636 -showcerts' noch genau die identisch gleiche Ausgabe. Anschließd habe ich den Paramter den ich zu Anfang in der /etc/ssl/openssl.cnf aktiviert habe: unique_subject = no wieder auskommentiert und das Ganze nochmal von vorne gemacht dann erhalte ich aber wieder beim Aufruf von './CA.sh -sign' die Meldung: Using configuration from /etc/ssl/openssl.cnf 2982:error:0E06D06C:lib(40):UI_set_result:result too small:ui_lib.c:847:You must type in 4 to 8191 charecters Enter pass phrase for ./demoCA/privat/caky.pem: Check that the request matches the signature Signature ok Also nach der Passworteingabe geht es dann weiter und ich bekomme die Zertifikat-Details angzeigt. Hier ist mir aufgefallen das unter den [...] X509v3 extensions X509v3 Basic Constraints: CA:FALSE [...] Das war aber schon immer, also unabhängig von der Option 'unique_subject = no', so. steht, evtl ist das ein Problem? Ich mache dann weiter und beantworte die Frage ob das das Zertifikat signiert werden soll mit y Anschließend kommt noch die Frage: 1 out of 1 certificate requests certified, commit? [y/n] Wieso er mich nochmal fragt verstehe ich nicht so recht. Nur so am Rande. Kann es sein das meine LDAP-Probleme aus den Zertifikat-Problemen resultieren und wir zuerst diese Lösen sollten? Viele Grüße Sven