CA Management mittels YAST

Hallo Leute

Seit ein paar Tagen setze ich mich bez. CA auseinander.
Ich habe auch schon einige Howto's ,Postfix Bücher usw. durchgelesen.
Ich möchte gerne d. Apache und Postfix absichern.

Es bleiben für mich aber ein paar Fragen offen.

Ich habe mir einmal mittels YAST eine CA und eine SubCA angelegt.
Unter d. SubCA habe ich mir noch ein Zertificate angelegt. Soweit so gut.
Aber wo finde ich die Certificate jetzt ???
Was ist eigentlich CLR ???

Ich habe einmal mittels find nach m. SubCA gesucht und siehe da


hier d. Auszug aus /var/lib/CAM/serversub

-rw------- 1 root root 1024 Mar 30 12:24 .rand
-rw-r--r-- 1 root root 1751 Mar 28 21:53 cacert.key
-rw-r--r-- 1 root root 1736 Mar 28 21:53 cacert.pem
-rw-r--r-- 1 root root 137 Mar 28 21:55 cam.txt
drwx------ 2 root root 4096 Mar 28 21:55 certs
drwx------ 2 root root 4096 Mar 28 21:53 crl
-rw-r--r-- 1 root root 121 Mar 28 21:55 index.txt
-rw-r--r-- 1 root root 20 Mar 28 21:55 index.txt.attr
-rw-r--r-- 1 root root 0 Mar 28 21:53 index.txt.old
drwx------ 2 root root 4096 Mar 28 21:55 keys
drwx------ 2 root root 4096 Mar 28 22:17 newcerts
-rw-r--r-- 1 root root 5538 Mar 28 21:53 openssl.cnf.tmpl
drwx------ 2 root root 4096 Mar 28 21:55 req
-rw-r--r-- 1 root root 3 Mar 28 21:55 serial
-rw-r--r-- 1 root root 2 Mar 28 21:53 serial.old


Ich habe aber keine Ahnung was was ist. ??? :???:

Irgendwie denke ich falsch.
Was ist die CA was d. Schlüssel und wo sind die Certificate. ???

Muss ich die Certificate exportieren. Wie kann ich zb. beim Servercertificate das Passwort löschen. ???

Danke für jede Hilfe

Hallo Andre,

Ja, mit Yast geht das auch, Puristen machen das auf der Konsole, aber es gibt wirklich bessere (funktional bessere) Programme dafür.
Mein Favorit ist in diesem Zusammenhang das Programm "xca", welches auch in den Repos zu finden ist.
[NB: Ich stelle damit Jahr für Jahr mehrere Hundert (!) Zertifikate für Forennutzer aus dem TB-Forum, Freunde, Familie usw. her.]

Andre schrieb:

Ich möchte gerne d. Apache und Postfix absichern.

Zum Vergrößern anklicken....

Kein Problem, so lange du dir bewusst bist, dass es eben nur "inoffizielle" Zertifikate sind und deine Nutzer sich vorher deine Herausgeberzertifikate herunterladen und denen bewusst das Vertrauen aussprechen. Für einen eingeschränkten Nutzerkreis eine geeignete Lösung.

Es bleiben für mich aber ein paar Fragen offen.

Zum Vergrößern anklicken....

Da werden noch viele kommen ... .

Aber wo finde ich die Certificate jetzt ???

Zum Vergrößern anklicken....

Gute Frage ... . Ich habe es mit Yast nie bis zum Ende probiert, siehe oben.
Also mal schnell getestet ...
=> Du kannst die Zertifikate und Schlüssel nach Betreten der CA >> Beschreibung >> Erweitert in die verschiedenen Dateiformate exportieren.
In ähnlicher Form wird das dann auch sicherlich mit den Nutzern- und Serverzertifikaten funktionieren.
Wenn du Fragen zu den einzelnen Exportformaten hast, nur her damit.

Wenn deine Frage allerdings so zu verstehen ist, wo in deinem Betriebssystem sich die "geheimen" Bestandteile deiner CA alles so befinden, dann muss ich passen. Du hast ja was gefunden. Die gefundenen Dateien passen auch zu einer CA:


=> Ich persönlich hätte ein Problem, wenn auf einer normalen Arbeitskiste "irgendwo" die privaten Schlüssel herumliegen. Aber hier kommt wohl auch meine Berufsparanoia durch ... .

Was ist eigentlich CLR ???

Zum Vergrößern anklicken....

Das sind die so genannten Sperrlisten. In diese Liste werden Zertifikate eingetragen, die vor Ablauf ihrer Gültigkeit bewusst gesperrt werden. Diese Liste ist durch die ausstellende CA signiert und die crl muss dann (wenn eine genutzt werden soll) veröffentlicht werden. Also auf deiner Homepage, so dass das die crl nutzende Programm sie finden und auswerten kann.

Irgendwie denke ich falsch.

Zum Vergrößern anklicken....

Du denkst über etwas nach - und das finde ich gut.

Was ist die CA was d. Schlüssel und wo sind die Certificate. ???
Muss ich die Certificate exportieren. Wie kann ich zb. beim Servercertificate das Passwort löschen. ???

Zum Vergrößern anklicken....

So, und jetzt habe ich Feierabend. Die beiden letzten Fragen sowie gern auch weitere beantworte ich heute Abend.

MfG Peter

HALLO

Das waren viele Fragen und viele Antworten

Ich muss es ja nicht unbedingt mit Yast machen. Das war ja auch nur ein Test wie dieses mittels Yast funkt.

meine Aufgabe.

Habe nen Mailserver am laufen. Dieser ist mittels Webaccess erreichbar. Somit die erste Aufgabe " https " Die 2 Aufgabe die ich habe ist diese das ich d. Postfix so konfigurieren muss das dieser sich gegen andere Mailserver authorisiert.

Somit brauche ich jetzt eine CA + Zertifikate



Danke

So, weiter im Text ... .

Was ist die CA was d. Schlüssel und wo sind die Certificate. ???
Muss ich die Certificate exportieren.

Zum Vergrößern anklicken....

Selbstverständlich musst du die Zertifikate exportieren.
- die für die CA exportieren und zumindest auf eine DVD (Haltbarkeit ...) brennen und gut wegschließen. Wenn sie "weg" sind oder in falsche Hände gelangen, ist die CA tot.
- die erzeugten Server- und Nutzerzertifikate selbstverständlich auch exportieren, brauchst sie ja auf den Servern.

Der Export erfolgt immer über die jeweilige GUI, einfach ausprobieren. Ich habe es ja oben schon beschrieben.
Das Passwort für den privaten Schlüssel des Serverzertifikates kannst du beim Export entweder einfach nicht eintragen, oder auch mit openSSL und auch anderen Tools entfernen usw. (Importieren in einen Zertifikatsstore und danach wieder ohne PW exportieren)

Ich muss es ja nicht unbedingt mit Yast machen.

Zum Vergrößern anklicken....

Also, wenn du nur ein einziges Zertifikat erzeugen und dich sonst nicht mit dem Thema befassen willst, würde ich das gleich per openSSL machen. Da gibt es doch so viele Anleitungen dafür im Netz.
Das von mir favorisierte Tool xca hat den großen Vorteil, dass du Templates für alle gängigen Zertifikate vorbereiten kannst. Egal, ob es sich um ein weiteres CA-, ein SSL-, ein S/MIME-Zertifikat usw. handelt, alles ist mit immer den richtigen Einstellungen in zwei Minuten fertig.
Das läuft fast so komfortabel wie die Technik, mit der ich das sonst jeden Tag mache bzw. machen lasse ... .
Und bei xca ist es auch so, dass sämtliche privaten und öffentlichen Schlüssel usw. immer innerhalb eines bestimmten Vz. (~/xca) liegen. Dafür ist hervorragend ein Truecryptcontainer geeignet.

Ich habe mir einmal mittels YAST eine CA und eine SubCA angelegt.
Unter d. SubCA habe ich mir noch ein Zertificate angelegt.

Zum Vergrößern anklicken....

Ja, auch ich lege (so wie das jede kommerzielle CA macht) eine langfristig geltende PCA und jährlich eine neue "Jahres-CA" an. Aber für ein einziges Serverzertifikat kannst du das stecken lassen. Hier reicht wirklich eine (!) CA mit 15 Jahren Gültigkeit.
Bei meinem (privaten!) "Produktionsausstoß" ist das was anderes ... .

Habe nen Mailserver am laufen. Dieser ist mittels Webaccess erreichbar. Somit die erste Aufgabe " https "

Zum Vergrößern anklicken....

Ich schrieb ja schon, wenn es sich um einen kleinen "privaten" Nutzerkreis handelt (firmenintern mit ein paar bekannten externen Gästen ...), dann ist das überhaupt kein Problem. Herausgeberzertifikat verteilen, importieren lassen und Vertrauen einstellen.

Die 2 Aufgabe die ich habe ist diese das ich d. Postfix so konfigurieren muss das dieser sich gegen andere Mailserver authorisiert.

Zum Vergrößern anklicken....

Gegen andere firmeneigene Mailserver oder etwa öffentliche?
Ich habe wenig Hoffnung, dass die öffentlichen Mailserver (also die der Provider) mit einem Serverchen sprechen wollen, der ein selbstsigniertes und unbekanntes Zertifikat vorweist. Da werdet ihr wohl in die Kasse greifen müssen ... .
[Mach dir nix draus, auch TrustCenter wollen leben ;-) ]

HTH

MfG Peter

Hallo

Das mitn _Yast ist so eine Sache. Sicher kann ich es mit diesen auch machen aber ich möchte schon wissen wie und was i. Hintergrund abläuft. Sonst habe ich irgendwann ein Problem. g

Eigentlich brauche ich ja nur eine CA. und dann kann ich ja für diverse Server , Dienste, Clients usw Zertificate ausstellen oder.

Das mit d. Authorisieren gegen einen anderen Server hat sich auch schon erledigt. Das Problem liegt am Postfix. Da muss ich SASL einrichten. Wieder eine Hürde. naja


Wenn ich Postfix für smtp einrichte muss ich folgendes eintragen.


smtpd_tls_key_file = /etc/postfix/certs/smtpd.key = das ist der Key oder
smtpd_tls_cert_file = /etc/postfix/certs/smtpd.crt = das ist das Zertificate
smtpd_tls_CAfile = /etc/postfix/certs/cacert.pem = ???

Langsam aber doch verstehe ich es. Aber es dauert noch ein bisserl.

smtpd_tls_CAfile = /etc/postfix/certs/cacert.pem = ???

Zum Vergrößern anklicken....

Das ist das Herausgeberzertifikat deiner CA. Also der öffentliche Schlüssel der CA sowie die weiteren im Zertifikat stehenden Zertifikatsangaben (cn, usw.) und das ganze signiert durch die ausgebende CA, also mit dem eigenen privaten Schlüssel.
Und das ganze exportiert im .pem-Format.

MfG Peter

Hallo

Ich werde heute nochmals einen Versuch starten eine CA und Zertificate anlegen.

Danke

Hallo

hier mein Versuch

Server-005:/etc/postfix/certs # openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024 HIER HABE ICH D: PRIVATEN KEY ERSTELLT
683 semi-random bytes loaded
Generating RSA private key, 1024 bit long modulus
..................++++++
.................++++++
e is 65537 (0x10001)
Enter pass phrase for smtpd.key:
Verifying - Enter pass phrase for smtpd.key:

Server-005:/etc/postfix/certs # openssl req -new -key smtpd.key -out smtpd.csr ZERTIFIKAT ERSTELLT
Enter pass phrase for smtpd.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:AT
State or Province Name (full name) [Some-State]:Austria
Locality Name (eg, city) []:Vienna
Organization Name (eg, company) [Internet Widgits Pty Ltd]:test
Organizational Unit Name (eg, section) []:tt
Common Name (eg, YOUR name) []:mail.test.at
Email Address []ffice@test.at

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Server-005:/etc/postfix/certs # chmod 600 smtpd.key RECHTE GEÄNDERT

Server-005:/etc/postfix/certs # openssl x509 -req -days 1200 -in smtpd.csr -signkey smtp.key -out smtpd.crt ZERTIFIKAT GÜLTIKEITSDAUER UND ??? KEINE AHNUNG
Signature ok
subject=/C=AT/ST=Austria/L=Vienna/O=test/OU=tt/CN=mail.test.at/emailAddress=office@test.at
Getting Private key
Error opening Private key smtp.key
17246:error:02001002:system library:fopen:No such file or directory:bss_file.c:356:fopen('smtp.key','r')
17246:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:358:
unable to load Private key



Warum bekomme ich da eine Fehlermeldung ???

Hallo habe es gerade gefunden

war ein Rechtschreibfehler

hier gehts weiter

Server-005:/etc/postfix/certs # openssl rsa -in smtpd.key -out smtpd.key.unencrypted PASSWORT GELÖSCHT
Enter pass phrase for smtpd.key:
writing RSA key

Server-005:/etc/postfix/certs # openssl req -new -x509 -extensions v3_ca -keyout caskey.pem -out cacert-pem -days 365 ???
Generating a 1024 bit RSA private key
.....++++++
.++++++
writing new private key to 'caskey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:AT
State or Province Name (full name) [Some-State]:Austria
Locality Name (eg, city) []:Vienna
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:test
Email Address []:test

Server-005:/etc/postfix/certs # ls -l
total 24
-rw-r--r-- 1 root root 1180 Mar 31 20:47 cacert-pem
-rw-r--r-- 1 root root 963 Mar 31 20:47 caskey.pem
-rw-r--r-- 1 root root 924 Mar 31 20:42 smtpd.crt
-rw-r--r-- 1 root root 688 Mar 31 20:36 smtpd.csr
-rw------- 1 root root 963 Mar 31 20:36 smtpd.key
-rw-r--r-- 1 root root 887 Mar 31 20:43 smtpd.key.unencrypted




Ich muss dazu sagen das ich dieses nach einer Anleitung durchgeführt habe. Meine Frage was ich jetzt nicht verstehe. Im letzten Teil habe ich eine neue CA angelegt oder ???

Hallo

Ich habe jetzt dutzende Anleitungen durch. Hilfe

Also noch eine Frage.

Habe eine Anleitung i. Postfix - Buch getestet.

Habe ne CA erstellt.
cd /usr/share/ssl/misc

./CA.pl -newca CA ERSTELLT

dann einen Privat Key und gleichzeitig einen Certificate Request
./CA.pl -newreq

und Unterschreiben d. Certificate Request
./CA.pl -sign

dann noch das Passwort entfernt
openssl rsa <newkwy.pem> key.pem

OK soweit alles klar

hier die Struktur
linux-uk4h:/usr/share/ssl/misc # ls -l
total 48
-rwxr-xr-x 1 root root 5679 Jan 15 2010 CA.pl
-rwxr-xr-x 1 root root 3758 Jan 15 2010 CA.sh
-rwxr-xr-x 1 root root 119 Jan 15 2010 c_hash
-rwxr-xr-x 1 root root 152 Jan 15 2010 c_info
-rwxr-xr-x 1 root root 112 Jan 15 2010 c_issuer
-rwxr-xr-x 1 root root 110 Jan 15 2010 c_name
drwxr-xr-x 6 root root 4096 Apr 5 19:16 demoCA
-rw-r--r-- 1 root root 887 Apr 5 19:12 key.pem
-rw-r--r-- 1 root root 3143 Apr 5 19:15 newcert.pem
-rw-r--r-- 1 root root 963 Apr 5 19:14 newkey.pem
-rw-r--r-- 1 root root 655 Apr 5 19:14 newreq.pem
linux-uk4h:/usr/share/ssl/misc #

Dann kann man die newcert.pem,key.pem und die cacert.pem dort hin kopieren wo man sie braucht.

Soweit so gut. Wenn ich diese dort hin kopiere wo ich diese brauche kann ich ja mit ./CA.pl -newreq ein neues Zertifikat anlegen oder . Das Problem ist das dieses ja mein altes Zertifikat überschreibt oder. Brauche ich das alte nicht mehr ???

in der demoCA gibt es ja noch einige Ordner

linux-uk4h:/usr/share/ssl/misc/demoCA # ls -l
total 52
-rw-r--r-- 1 root root 3282 Apr 5 19:08 cacert.pem
-rw-r--r-- 1 root root 664 Apr 5 19:08 careq.pem
drwxr-xr-x 2 root root 4096 Apr 5 19:08 certs
drwxr-xr-x 2 root root 4096 Apr 5 19:08 crl
-rw-r--r-- 1 root root 3 Apr 5 19:08 crlnumber
-rw-r--r-- 1 root root 310 Apr 5 19:15 index.txt
-rw-r--r-- 1 root root 21 Apr 5 19:15 index.txt.attr
-rw-r--r-- 1 root root 21 Apr 5 19:11 index.txt.attr.old
-rw-r--r-- 1 root root 209 Apr 5 19:11 index.txt.old
drwxr-xr-x 2 root root 4096 Apr 5 19:15 newcerts
drwxr-xr-x 2 root root 4096 Apr 5 19:08 private
-rw-r--r-- 1 root root 17 Apr 5 19:15 serial
-rw-r--r-- 1 root root 17 Apr 5 19:11 serial.old

hier in der newcert sind ja auch die Zertifikate drin oder ???


hier die CA.pl

# demoCA ... where everything is stored

my $openssl;
if(defined $ENV{OPENSSL}) {
$openssl = $ENV{OPENSSL};
} else {
$openssl = "openssl";
$ENV{OPENSSL} = $openssl;
}

$SSLEAY_CONFIG=$ENV{"SSLEAY_CONFIG"};
$DAYS="-days 365"; # 1 year
$CADAYS="-days 1095"; # 3 years
$REQ="$openssl req $SSLEAY_CONFIG";
$CA="$openssl ca $SSLEAY_CONFIG";
$VERIFY="$openssl verify";
$X509="$openssl x509";
$PKCS12="$openssl pkcs12";

$CATOP="./demoCA";
$CAKEY="cakey.pem";
$CAREQ="careq.pem";
$CACERT="cacert.pem";

$DIRMODE = 0777;

$RET = 0;

foreach (@ARGV) {
if ( /^(-\?|-h|-help)$/ ) {
print STDERR "usage: CA -newcert|-newreq|-newreq-nodes|-newca|-sign|-verify\n";
exit 0;
} elsif (/^-newcert$/) {
# create a certificate
system ("$REQ -new -x509 -keyout newkey.pem -out newcert.pem $DAYS");
$RET=$?;
print "Certificate is in newcert.pem, private key is in newkey.pem\n"
} elsif (/^-newreq$/) {
# create a certificate request
system ("$REQ -new -keyout newkey.pem -out newreq.pem $DAYS");
$RET=$?;
print "Request is in newreq.pem, private key is in newkey.pem\n";
} elsif (/^-newreq-nodes$/) {
# create a certificate request
system ("$REQ -new -nodes -keyout newkey.pem -out newreq.pem $DAYS");
$RET=$?;
print "Request is in newreq.pem, private key is in newkey.pem\n";
} elsif (/^-newca$/) {
# if explicitly asked for or it doesn't exist then setup the
# directory structure that Eric likes to manage things
$NEW="1";
if ( "$NEW" || ! -f "${CATOP}/serial" ) {
# create the directory hierarchy
mkdir $CATOP, $DIRMODE;
mkdir "${CATOP}/certs", $DIRMODE;
mkdir "${CATOP}/crl", $DIRMODE ;
mkdir "${CATOP}/newcerts", $DIRMODE;
mkdir "${CATOP}/private", $DIRMODE;
open OUT, ">${CATOP}/index.txt";
close OUT;
open OUT, ">${CATOP}/crlnumber";
print OUT "01\n";
close OUT;
}
if ( ! -f "${CATOP}/private/$CAKEY" ) {
print "CA certificate filename (or enter to create)\n";
$FILE = <STDIN>;

chop $FILE;

# ask user for existing CA certificate
if ($FILE) {
cp_pem($FILE,"${CATOP}/private/$CAKEY", "PRIVATE");
cp_pem($FILE,"${CATOP}/$CACERT", "CERTIFICATE");
$RET=$?;
} else {
print "Making CA certificate ...\n";
system ("$REQ -new -keyout " .
"${CATOP}/private/$CAKEY -out ${CATOP}/$CAREQ");
system ("$CA -create_serial " .
"-out ${CATOP}/$CACERT $CADAYS -batch " .
"-keyfile ${CATOP}/private/$CAKEY -selfsign " .
"-extensions v3_ca " .
"-infiles ${CATOP}/$CAREQ ");
$RET=$?;
}
}
} elsif (/^-pkcs12$/) {
my $cname = $ARGV[1];
$cname = "My Certificate" unless defined $cname;
system ("$PKCS12 -in newcert.pem -inkey newkey.pem " .
"-certfile ${CATOP}/$CACERT -out newcert.p12 " .
"-export -name \"$cname\"");
$RET=$?;
print "PKCS #12 file is in newcert.p12\n";
exit $RET;
} elsif (/^-xsign$/) {
system ("$CA -policy policy_anything -infiles newreq.pem");
$RET=$?;
} elsif (/^(-sign|-signreq)$/) {
system ("$CA -policy policy_anything -out newcert.pem " .
"-infiles newreq.pem");
$RET=$?;
print "Signed certificate is in newcert.pem\n";
} elsif (/^(-signCA)$/) {
system ("$CA -policy policy_anything -out newcert.pem " .
"-extensions v3_ca -infiles newreq.pem");
$RET=$?;
print "Signed CA certificate is in newcert.pem\n";
} elsif (/^-signcert$/) {
system ("$X509 -x509toreq -in newreq.pem -signkey newreq.pem " .
"-out tmp.pem");
system ("$CA -policy policy_anything -out newcert.pem " .
"-infiles tmp.pem");
$RET = $?;
print "Signed certificate is in newcert.pem\n";
} elsif (/^-verify$/) {
if (shift) {
foreach $j (@ARGV) {
system ("$VERIFY -CAfile $CATOP/$CACERT $j");
$RET=$? if ($? != 0);
}
exit $RET;
} else {
system ("$VERIFY -CAfile $CATOP/$CACERT newcert.pem");
$RET=$?;
exit 0;
}
} else {
print STDERR "Unknown arg $_\n";
print STDERR "usage: CA -newcert|-newreq|-newreq-nodes|-newca|-sign|-verify\n";
exit 1;
}
}

exit $RET;

sub cp_pem {
my ($infile, $outfile, $bound) = @_;
open IN, $infile;
open OUT, ">$outfile";
my $flag = 0;
while (<IN>) {
$flag = 1 if (/^-----BEGIN.*$bound/) ;
print OUT $_ if ($flag);
if (/^-----END.*$bound/) {
close IN;
close OUT;
return;
}
}
}


Wer hat für mich die Antwort

Danke

Hi,

ich dachte, Zertifikate verwaltet man mit Kleopatra. :???:
Hat denn Yast gegenüber Kleopatra irgendwelche Vorteile? Oder bin ich auf einem falschen Dampfer?

Gruß
Georg

Hallo

ne das war ja nur ein Test wie dieses mit YAST funkt.

Habe es dann sowieso über die Konsole weiter getestet

Kleopatra kenne ich noch nicht.

LG Andre

Eine CA aufsetzen kannst du auch mit TinyCA.

Hallo,

zuerst einmal, es gibt gut ein Dutzend Programme (mindestens), mit denen man Schlüssel und Zertifikate verwalten und erzeugen kann.
Im Hintergrund werkeln meines Wissens fast überall die openSSL-Bibliotheken. Manche Programme (z. Bsp. Firefox, Thunderbird) nutzen eigene, vom Betriebssystem unabhängige Verwaltungsprogramme. Und Kleopatra ist eben die im KDE integrierte Zertifikatsverwaltung.
Ja, auch mit Kleopatra kann man Zertifikatsrequests erzeugen, Zertifikate und Schlüssel speichern, exportieren, an Anwendungen zur Nutzung übergeben und wohl sogar auch Request signieren und somit Zertifikate selbst erzeugen ("TrustCenter" spielen). Letzteres habe ich aber selbst nie getestet, weil ich dazu besser geeignete Programme kenne. Und Kleo ist eben auch dafür gemacht, beide Verfahren (GnuPG und X.509) sauber in KDE zu integrieren. Das kann wohl nur Kleopatra.

Viele Programme sind aber auch reine Zertifikats-Erzeugungs- und Verwaltungsprogramme, ohne dass sie die Schlüssel und Zertifikate an auf dem System laufende Programme übergeben können => das ist eben Sache von Kleopatra. (Oder der Zertifikatsverwaltung auf der WinDOSe.)

Am Besten versteht man das Prinzip aber, wenn man das "pur" auf der Konsole macht. Für die Massenproduktion ist das allerdings einfach unkomfortabel => und schon nutzt man eines der vielen guten Frontends. Meinen persönlichen Favoriten habe ich ja schon erwähnt.

Soweit so gut. Wenn ich diese dort hin kopiere wo ich diese brauche kann ich ja mit ./CA.pl -newreq ein neues Zertifikat anlegen oder . Das Problem ist das dieses ja mein altes Zertifikat überschreibt oder. Brauche ich das alte nicht mehr ???

Zum Vergrößern anklicken....

Das lese ich wohl als die eigentliche Frage heraus. oder?
Das "händische" Anlegen der CA, den Request und die Zertifikatserzeugung hast du alles richtig gemacht.
Das CA-Zertifikat und vor allem den CA-Key solltest du gut wegsichern!
Die von der CA letztendlich signierten (Nutzer- oder Server-) Zertifikate und deren private Schlüssel musst du dann unter einem sinnvollen Namen irgendwo speichern. openSSL auf der Konsole ist kein Zertifikats-Verwaltungsprogramm.

hier in der newcert sind ja auch die Zertifikate drin oder ???

Zum Vergrößern anklicken....

Schau in den Ordner rein. Auch in den Ordner /private
Und schau dir die dort liegenden Zertifikate an. Ja, dazu kannst du diese mit Kleopatra öffnen, oder gar darin speichern. Denn DAS ist ja ein Verwaltungsprogramm.

Fazit:
- zum Lernen, zum Verstehen => openSSL auf der Konsole
- mal ein Zertifikat für einen Server => ebenso mit openSSL
- willst du aber so wie ich, diese "semiprofessionell" in Massen produzieren, dann nutze ein richtiges CA-Programm. Ob du dazu TinyCA, Yast-CA, Kleopatra, ... oder XCA nutzt, ist dir überlassen.


MfG Peter

Hallo Peter

Danke für deine Antwort.

Das hilft mir echt weiter. Wie ich d. mit d. Zertifikaten löse muss ich mir noch anschauen.

Danke

LG Andre

Und nebenbei sei noch erwähnt, dass die CA, die Zertifikate alleine in einem Raum stehen, der Raum Video überwacht, nur max. 1-3 Leute Zugang haben (Chef, Sicherheitsbeauftragter und sein Stellvertreter) und der Zugang beispielsweise nur per biometrischer Authentifizierung möglich ist und sich auch im Vorraum keine unbefugten Personen aufhalten dürfen.

Brandschutz und Schutz gegen Sprengstoffanschläge sind selbstverständlich.

Du hast, wie es oft passiert, den Schutz gegen Wasser vergessen ;-)
Die Zertifikate und die Identifikationsnachweise (=> echtes Papier!) müssen 30 Jahre + Gültigkeitsdauer der Zertifikate sicher vor Zerstörung und "Abhandenkommen" geschützt werden.

Ist schon nicht einfach ... .
Zumindest, wenn man das ganze auf der Grundlage des Signaturgesetzes macht.
[Persönliche Bemerkung eines "Leidtragenden":
Ein Gesetz, welches von Juristen für Juristen gemacht wurde, und welches IMHO auch dafür zuständig ist, dass die el. Signatur in D. nicht aus dem Knick kommt. Das kann einfach keiner bezahlen.
Viele Grüße nach Mainz zu Herrn S. ;-) ]

MfG Peter

/dev/null schrieb:

... Du hast, wie es oft passiert, den Schutz gegen Wasser vergessen ...

Zum Vergrößern anklicken....

Und aus aktuellem Anlass auch den Schutz vor Alpha/Beta und Gamma Strahlen . Das hält kein USB Stick aus ...

Jetzt werden wir aber so ganz langsam [OT] ... .
Bevor uns ein Mod verwarnt: Auch an den Schutz vor bestimmten Bakterien, welche das Papier angreifen, muss gedacht werden .......
Noch bevor die genannten Strahlen die gepanzerten Serverschränke durchdringen und die HSM zerstören, dürfte wohl niemand mehr da sein, der sich darüber aufregt. Bzw. diejenigen die sich noch aufregen könnten, haben dann garantiert andere Sorgen.


Worum ging es eigentlich?
Ach ja:
CA Management mittels YAST
;-)