Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:ldap_archlinux [2022/06/16 09:36] – [Überprüfung LDAPS] klaus
+++ tachtler:ldap_archlinux [2023/04/10 08:16] (aktuell) – [/etc/ssl/openssl.cnf] klaus
@@ Zeile 1936: / Zeile 1936: @@
   * das **CRT (Certificate)** selbst, welcher von der **Certificate Authority (CA)** ausgestellt wird
-Zur Erstellung eines **Self-Signed-Certificate** und zur Erstellung der oben genannten Komponenten, wird das RPM-Paket
+Zur Erstellung eines **Self-Signed-Certificate** und zur Erstellung der oben genannten Komponenten, wird das Paket
   * **''openssl''**
 benötigt, welches i.d.R. bereits installiert sein sollte.
@@ Zeile 1966: / Zeile 1966: @@
 </code>
-* //Danke an Stefan Mayr für den Hinweis das Zertifikat mit **S**ubject **A**lternative **N**ames auszusattten → Hintergrund: [[https://www.rfc-editor.org/rfc/rfc6125#section-6.6.4|Representation and Verification of Domain-Based Application Service
+* //Danke an Stefan Mayr für den Hinweis das Zertifikat mit **S**ubject **A**lternative **N**ames auszustatten → Hintergrund: [[https://www.rfc-editor.org/rfc/rfc6125#section-6.6.4|Representation and Verification of Domain-Based Application Service
  Identity within Internet Public Key Infrastructure Using X.509 (PKIX)
      Certificates in the Context of Transport Layer Security (TLS) - Section 6.4.4]]//
@@ Zeile 1973: / Zeile 1973: @@
 Zur Erstellung einer eigene **Certificate Authority (CA)** kann ein Script, welches bei der Installation von ''openssl'' mitgeliefert wird und sich im Verzeichnis ''/etc/ssl/misc/'' befindet, genutzt werden. Der Name des Scripts lautet
   * **''/etc/ssl/misc/CA.pl''**.
+:!: **HINWEIS** - **Um Subject Alternative Names hinzufügen zu können, muss nachfolgende __zweite__ Ergänzung abgeändert werden, das sonst die '' -extensions v3_req'' __NICHT__ angezogen wird!**
 :!: **HINWEIS** - **Die zu erstellende Certificate Authority (CA) hat __standardmässig__ eine Laufzeit von __3 Jahren__ !!!**
@@ Zeile 1990: / Zeile 1992: @@
 my $CADAYS = "-days 28403"; # 27.03.2022 - 31.12.2099
 ...
+...
+...
+} elsif ($WHAT eq '-sign' ) {
+    $RET = run("$CA -policy policy_anything -out $NEWCERT"
+            # Tachtler
+            # default: . " -infiles $NEWREQ $EXTRA{ca}");
+            . " -extensions v3_req -infiles $NEWREQ $EXTRA{ca}");
+    print "Signed certificate is in $NEWCERT\n" if $RET == 0;
+...
 </code>
@@ Zeile 2189: / Zeile 2200: @@
 <code>
-# /etc/ssl/misc/CA.pl -sign -extra-ca -extensions=v3_req
+# /etc/ssl/misc/CA.pl -sign -extra-ca
 </code>
 <code perl>
-# /etc/ssl/misc/CA.pl -sign -extra-ca -extensions=v3_req
+# /etc/ssl/misc/CA.pl -sign -extra-ca
 ====
 openssl ca  -policy policy_anything -out newcert.pem -extensions=v3_req -infiles newreq.pem
@@ Zeile 2231: / Zeile 2242: @@
 </code>
-Durch ausführen des Skriptes mit nachfolgendem Aufrufparameter ''/etc/ssl/misc/CA.pl -sign -extra-ca -extensions=v3_req'' ist eine weitere neue Dateien unter
+Durch ausführen des Skriptes mit nachfolgendem Aufrufparameter ''/etc/ssl/misc/CA.pl -sign -extra-ca'' ist eine weitere neue Dateien unter
   * ''/etc/ssl''
 entstanden, welche mit nachfolgendem Befehl aufgelistet werden kann: