Self Signed Certificate Version 3

[Willüüü]

Hallo zusammen,

ich möchte ein selbst unterschriebenes Zertifikat mit OpenSSL generieren. Das ganze sollte jedoch Version 3 fähig sein, jemand eine Ahnung was ich dafür machen muss?

hier mein jetziger Vorgang für ein Version 1 self signed Certificate:

passphrase=123
echo $passphrase

openssl genrsa -des3 -out ca.key \
-passout pass:$passphrase 1024

openssl req -new -x509 -days 365 -key ca.key \
-out ca.crt -passin pass:$passphrase \
-subj "/C=DE/ST=BLN/L=Berlin/O=123/OU=CA/CN=www.domain.de/emailAddress=webmaster@domain.de"


# Server
openssl genrsa -des3 -out server.key -passout pass:$passphrase 1024


mv server.key server.key.secure
openssl rsa -in server.key.secure -out server.key -passin pass:$passphrase


openssl req -new -days 365 -key server.key -out server.csr \
-subj "/C=DE/ST=BLN/L=Berlin/O=123/OU=webteam/CN=www.domain.de/emailAddress=webmaster@domain.de"

/usr/src/sign.sh server.csr $passphrase

Jemand eine Idee, man openssl und openssl --help habe ich nichts gefunden.

Vielen Dank!

 

[Chromatin]

$ openssl
OpenSSL> version
OpenSSL 0.9.7j 04 May 2006

Aus der Manpage:

-extensions section
The section of the configuration file containing certificate exten-
sions to be added when a certificate is issued (defaults to
x509_extensions unless the -extfile option is used). If no exten-
sion section is present, a V1 certificate is created. If the ex-
tension section is present (even if it is empty), then a V3 cer-
tificate is created.

Zu ner "richtigen" CA wuerden noch folgende Infos in der extension gehoeren:

crlDistributionPoints = URI:http://blabla..de/bla.pem
nsCaRevocationUrl = http://blabla..de/bla.pem
nsBaseUrl = http://blabla.de
nsRevocationUrl = https://blabla.de/revoke.php
nsRenewalUrl = https://blabla.de/renew.php
nsCaPolicyUrl = http://blabla.de/ca-policy.html


Die extensions findest du in deiner openssl.conf


Bei mir sieht die per default so aus:

[ x509v3_extensions ]

nsCaRevocationUrl = http://www.cryptsoft.com/ca-crl.pem
nsComment = "This is a comment"
# under ASN.1, the 0 bit would be encoded as 80
nsCertType = 0x40
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName
#nsCertSequence
#nsCertExt
#nsDataType


Wenn Du es ganz genau wissen willst: http://openssl.org/docs/apps/x509v3_config.html


Wozu willst du ueberhaupt selbst eine v3 CA sein? Rein technisch bringt
es dir nichts und wenns deine private Kiste/Firma als CA ist, steht die ja eh nicht im
Browser und ist also erstmal "verstrauensunwuerdig".
Wenn Du dir unsicher bist, schreib nochmal was genau du vorhast

Btw. Das ist auch der Grund weil es kaum Texte dazu gibt - es macht einfach wenig Sinn

 

[Willüüü]

Hallo,

aus Sicherheitsgründen wird uns vorgeschrieben, dass wir SSL v2 disablen, doch unsere Entwickler brauchen für die Deployphase immer ein SSL Zertfikat zum testen, bis wir das richtige Zertfikat für die Applikation bekommen. (Zertfikat bekommen wir von der Mutterfirma erst nach einiger Zeit zugeschickt) Deshalb brauche ich ein self signed v3 Certficate) Kannst nur mir genau sagen wo ich das -extensions section in meinem Ablauf anhängen muss?

Danke!

 

[Chromatin]

Du findest in der Manpage einige Beispiele.

Und btw. ein v3 cert ist nicht sicherer. Jedenfalls nicht was die Verschluesselung angeht.