[Eisfair] Vergleichsoperator in openssl will nicht mehr richtig

So Feb 1 20:55:57 CET 2015

Hallo zusammen,
mittlerweile sind wir ein Stück weiter,
noch nicht ganz, aber falls das das jemand jetzt sucht....
Ich habe das Problem für mich pragmatisch gelöst.
Als Workaround habe ich das Paket deinstalliert und neu installiert.

Am 14.12.2014 um 16:23 schrieb Stephan Manske:
> b.sprenger at sprenger-ffm.de (B. Sprenger) schrieb:
>
>> Jetzt habe ich einen zusÃñtzlichen Benutzer angelegt und wollte fÃ¦r
>> diesen ein Zertifikat erstellen.
>>
>> Leider scheitere ich mit folgender Fehlermeldung:
>>
>> something went wrong, no user certification created!
>
> Leider kann ich den Fehler als Paket-Autor nur bestätigen :-(
>
> Ich bin mir recht sicher, bei der letzten Paketerstellung auch das
> getestet zu haben, jetzt geht es aber nicht mehr. Irgendwas muß sich
> da am eisfair-System geändert haben. Und zwar (wenn Boris diese
> Meldung auch hat) müßte es was mit Vergleichsoperatoren und der
> Abarbeitung des cert-Erstellungs-makefile zu tun haben:
>
>
> The stateOrProvinceName field needed to be the same in the
> CA certificate (Somewhere) and the request (Somewhere)
>
> Unschwer zu erkennen, daß die beiden Werte sehr wohl identisch sind.
>
>
>
> ich habe testweise die match-policy für
>
> [ policy_match ]
> countryName             = match
> stateOrProvinceName     = match **********
> organizationName        = match
>
> von match auf supplied geändert.
>
> prompt tritt dieser Fehler nicht mehr auf, an dieser Stelle... Denn
> gleich das nächste bringt dann:
>
>
> The organizationName field needed to be the same in the
> CA certificate (my EIS) and the request (my EIS)
>
>
>
>
> irgendwie will openssl nicht mehr sauber strings vergleichen :-(
>
> openssl ca -batch -keyfile ca.key -cert ca.pem -in client.csr  -key `grep
> output_password ca.cnf | sed 's/.*=//;s/^ *//'` -out client.crt -extensions
> xpclient_ext -extfile xpextensions -config ./client.cnf
> Using configuration from ./client.cnf
> Check that the request matches the signature
> Signature ok
> The organizationName field needed to be the same in the
> CA certificate (my EIS) and the request (my EIS)
> freeradius-make: *** [client.crt] Error 1
>
>
> Irgendwer eine Idee?
>
>
>
> Ciao, Stephan
>
Stephan Manske schrieb:

Ich habe den Fehler vermutlich gefunden, es ist die Umstellung von eis 
auf utf8. Unsere alten CA Zertifikate wurden noch ohne utf8 erstellt, 
die neuen User Zertifikate nutzen den neuen Standard utf8. Für komplett 
neue Installationen sollte das sogar kein Problem sein, weil die CA dann 
auch utf8 benutzt. Wie ich das für bestehende Strukturen workarounde muß 
ich mir noch überlegen. Aber es ist jedenfalls Licht am Ende des Tunnels