Problem beim erstellen von Zertifikaten mit OpenSSL

thommymail · Beitrag von **thommymail** » 03 Okt 2005, 13:27

Hallo,

ich bin gerade dabei den Zugriff per VPN mittels Zertifikaten zu realisieren.
Beim ertsellen der Zertifikate bin ich nach dem Handbuch vorgegangen.

Leider funktioniert der Schritt 3 (Erstellen Sie ein Zertifikat aus der Zertifikatsanforderung mit dem Befehl) beim erstellen des Gerätezertifikates nicht.

OpenSSL> x509 -extfile openssl.cnf -req -in 1611_DFGV.req -CAkey ca.key -CA ca.crt -CAcreateserial -days 365 -out 1611_DFGV.crt

Ich erhalte folgende Fehlermeldung:

Loading 'screen' into random state - done
Error Loading extension section default
2128:error:22097082:X509 V3 routines:DO_EXT_NCONF:unknown extension name:.\crypt
o\x509v3\v3_conf.c:124:
2128:error:22098080:X509 V3 routines:X509V3_EXT_nconf:error in extension:.\crypt
o\x509v3\v3_conf.c:93:name=HOME, value=.
error in x509

Die openssl.cnf habe ich angepaßt die 3 Verzeichnise habe ich auch erstellt.
Ich verwende Win31OpenSSL-V0.9.8

Vielleicht kann mir jemand weiterhelfen?

mfg
Thomas

quark · Beitrag von **quark** » 04 Okt 2005, 11:24

Moin!

Bei mir funktioniert das Erstellen von Zertifikaten nur, wenn ich den Verweis auf die Konfigurationsdatei entferne. In Deinen Fall also:
OpenSSL> x509 -req -in 1611_DFGV.req -CAkey ca.key -CA ca.crt -CAcreateserial -days 365 -out 1611_DFGV.crt

Viel Erfolg!

omd · Beitrag von **omd** » 04 Okt 2005, 13:07

Hallo,

habe hier die Konfigurationsdatei wegen ähnlicher Probleme auch erstmal weggelassen. Die Geschichte mit den verschiedenen Unterverzeichnissen, wie im Handbuch beschrieben, ist dann auch unnötig kompliziert. Man kann, jedenfalls ohne Verwendung der mitgelieferten Konfigurationsdatei, einfach in ein[/] beliebiges Verzeichnis erzeugen, openssl aufrufen und die Keys und Zertifikate erzeugen.

Gruß,
omd

thommymail · Beitrag von **thommymail** » 04 Okt 2005, 21:05

Hallo,

wenn ich die Konfigurationsdatei weg lasse dann funktioniert es bei mir auch.
Da ist diese wohl nicht zwingend notwenig?

Danke für eure Hilfe

mfg
Thomas

omd · Beitrag von **omd** » 04 Okt 2005, 21:37

thommymail hat geschrieben:Da ist diese wohl nicht zwingend notwenig?

Offenbar nicht.

Wäre eine Anregung an die "LANCOMer", den Abschnitt im Handbuch so übersichtlich wie möglich zu halten, d.h. die nicht zwingend notwendige Datei zur Voreinstellung der Konfiguration und die Verzeichnisstruktur wegzulassen. Denn das Vorgehen zum Erstellen der Zertifikate an sich ist ja recht unkompliziert, und deren Verwendung begrüßenswert.

Im Ist-Zustand besteht halt wegen obengenannter Details aus Sicht eines ungeduldigen Neulings eine gewisse Abhängigkeit von dem im Handbuch erwähnten Setup-Paket für Openssl ((welches ich damals auch erstmal vergeblich installiert hatte), obwohl man ja genausogut jede andere Openssl-Installation verwenden kann.

Gruß,
omd