Zertifikatserstellung

Status
Für weitere Antworten geschlossen.

SvenTeske

Benutzer
Mitglied seit
15. Mrz 2010
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Hallo Zusammen,

ich habe folgendes Problem: derzeit möchte ich ein x509 Zertifikat herstellen. Die hierzu erforderliche Herstellung der CA, der Schlüssel, und die Anpassung der openssl.cnf ist bereits erfolgt. Sozusagen auf dem letzten Meter, nämlich bei der Herstellung des eigentlichen Zertifikates habe ich einen Fehler, den ich nicht beseitigt bekomme.

Ich möchte die Signierung einer Zertifizierungsanfrage (Certicicate Signing Request - CSR) vornehmen, die mir jedoch nicht gelingt. Folgendes gebe ich als root ein:

openssl ca -name "ca_name" -keyfile CaKey.pem -in MyReq.pem -out MyCert.pem

nach Bestätigung durch die Entertaste erhalte ich Folgendes:

Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for CaKey.pem:

Wenn ich die Passphrase eingegeben habe, erhalte ich folgende Fehlermeldung:

variable lookup failed for default_ca::certificate
3489:error.....configuration file routines:NCONF'_get_string:no value:conf_lib.c:329:group=default_ca_name=certificate

In der Datei opnessl.cnf habe ich

default_ca = ClientCA

gesetzt, sodass es eigentlich funktionieren müßte.

Wer kann mir hier helfen? Was mache ich falsch?

ZUSATZ:
alle erstellten Dateien (CaCert.pem etc.) liegen im Verzeichnis /etc/ssl/private.
Ich nehme einmal an, dass einige Verweise meiner Openssl.cnf nicht stimmen und das somit die oben dargestellte Fehlermeldung eintritt:
Meine openssl.cnf sieht folgendermaßen aus:
(CA)
default_ca = ClientCA

(CA_default)
dir = /etc/ssl/private
certs = $dir/certs
crl_dir = $dir/crl
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/cacert.pem
serial = $dir/serial
crlnumber = $dircrl/number
crl = $dir/crl.pem
private_key = $dir/private/cakey.pem
RANDFILE = $dir/private/.rand
 

KingLui

Benutzer
Mitglied seit
22. Jul 2010
Beiträge
49
Punkte für Reaktionen
0
Punkte
0
Erstellt die folgenden Ordner und Datei
/usr/syno/ssl/openssl.cnf

mit folgendem Inhalt:

#--------------------------------------------------------------------
# OpenSSL configuration file.
#
# Establish working directory.

dir = .

[ req ]
default_bits = 1024 # Size of keys
default_keyfile = key.pem # name of generated keys
default_md = md5 # message digest algorithm
string_mask = nombstr # permitted characters
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
# Variable name Prompt string
#---------------------- ----------------------------------
0.organizationName = Organization Name (company)
organizationalUnitName = Organizational Unit Name (department, division)
emailAddress = Email Address
emailAddress_max = 40
localityName = Locality Name (city, district)
stateOrProvinceName = State or Province Name (full name)
countryName = Country Name (2 letter code)
countryName_min = 2
countryName_max = 2
commonName = Common Name (hostname, IP, or your name)
commonName_max = 64

# Default values for the above, for consistency and less typing.
# Variable name Value
#------------------------------ ------------------------------
0.organizationName_default = KingTech
organizationalUnitName_default = KingLui
emailAddress_default = lui@kinglui.ch
localityName_default = Birsfelden
stateOrProvinceName_default = Baselland
countryName_default = CH
commonName_default = kingtech.ath.cx

[ v3_ca ]
basicConstraints = CA:TRUE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always
#--------------------------------------------------------------------

Die Default-Werte durch die eigenen Ersetzen.

# Wechseln in das Verzeichnis
cd /volume1/homes/admin

# Neues .csr File geniereren
openssl req -new > server.cert.csr

# Schlüssel erzeugen
openssl rsa -in key.pem -out server.cert.key

# Öffentliches Zertifikat für die Dauer von 3650 Tagen erstellen
openssl x509 -in server.cert.csr -out server.cert.crt -req -signkey server.cert.key -days 3650

server.cert.key ist der private Schlüssel

server.cert.crt ist das Zertifikat
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat