[Eisfair] [e1] certs: Passwort für ca-Key "verloren"

Juergen Edner juergen at eisfair.org
Di Jul 16 12:58:08 CEST 2013 

Hallo Marcus,

> Befehle, die die Eingabe des ca-Keys erfordern, schlagen fehl:
> 
> eis # openssl ca -gencrl -out /usr/local/ssl/crl/crl.pem
> Using configuration from /usr/local/ssl/openssl.cnf
> Enter pass phrase for /usr/local/ssl/private/ca.key:
> unable to load CA private key
> 3074078344:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad
> decrypt:evp_enc.c:539:
> 3074078344:error:0906A065:PEM routines:PEM_do_header:bad
> decrypt:pem_lib.c:483:
> 
> Wie kann ich den ca-Key komplett aus dem System entfernen?

generell entfernt man ein CA-Zertifikat nicht aus einem System, da sonst
alle bisher erstellten Zertifikate nicht mehr geprüft werden
können, sondern ersetzt es durch ein neues CA-Zertifikat.

Folgende Vorgehensweise habe ich selbst validiert und verwendet:

1. Aktuelle Gültigkeit des CA-Zertifikats prüfen und CA-Details
   anzeigen lassen:

   openssl x509 -in ca.pem -noout -text

2. Sichern des vorhandenen CA-Zertifikats und Speichern unter
   einem anderen Namen, damit die damit signierten, vorhandenen
   Zertifikate weiterhin erfolgreich geprüft werden können:

   cd /usr/local/ssl/certs
   cp ca.pem ca-YYYY.MM.DD.pem
   cp ca.der ca-YYYY.MM.DD.der

   cd /var/certs/ssl/newcerts
   cp ca.crt ca-YYYY.MM.DD.crt

 2. Starten der Zertifikatsmanagement-Oberfläche über das Menü oder
    direkt von der Konsole:

   /var/install/bin/certs-create-tls-certs

3. Neues CA-Zertifikat erzeugen, durch Auswahl folgender Menüpunkte:

  1 - change/set certificate type
      1 - Certificate Authority (CA)

  3 - create a CA key - done.

  4 - create a self-signed CA certificate

      Country Name (2 letter code) [DE]: DE
      State or Province Name (full name) [Nordrhein Westfalen]:
        <Dein Land>
      Locality Name (eg, city) [Koeln]: <Deine Stadt>
      Organization Name (eg, company) [privat]: <Dein Name>
      Organizational Unit Name (eg, section) [eisfair]:
        Certificate Authority
      Common Name (eg, YOUR name) []: <z.B. Dein Name CA>
      Email Address []: <Deine E-Mail Adresse>

  5 - create .pem CA certificate and copy it to /usr/local/ssl/certs

  17 - send certificates via e-mail

4. /usr/bin/ssl/c_rehash

5. Danach kopiert man das neue CA-Zertifikat auf die relevanten
   Rechner, nicht ohne zuvor das vorhandene, und noch gültige
   CA-Zertifikat, unter einem anderen Namen zu sichern.

   1. Login am Rechner <Deinn anderer Server>

   2. cd /usr/local/ssl/certs
      cp ca.pem ca-YYYY.MM.DD.pem
      scp farragut:`pwd`/ca.pem ca-YYYY.MM.DD.pem

   3. /usr/bin/ssl/c_rehash

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair