[Eisfair] certs in Nextcloud on Eis

Marcus Roeckrath marcus.roeckrath at gmx.de
Mi Apr 10 07:13:50 CEST 2019 

Hallo Hilmar,

Hilmar Böhm wrote:

> Ich habe schon vorher einige Versuch mit "certs" unternommen. Vielleicht
> kannst Du mir bitte einen Tipp hierzu geben:
> 
> Certificate generation (No CA home!)

Du hast noch kein CA und musst auch erst mit

CERTS_CA_HOME='yes'

freischalten, dass du überhaupt ein CA erzeugen kannst.

In Manage certificates kannst du dann

> --------------------------------------------------------------------------
> Parameters
>    = - change/set certificate type: client/server
>    2 - change/set certificate name: HIRO_CA
> 
> Certificate Authority (CA)
>    = - show CA key and certificate file location
> 
> Server/service/client certificate (sha384) (2048bits)
>   10 - [?] create new key/select existing one [HIRO_CA] (2048bits)
>   11 - [?] create certificate request
>   == - [>] sign certificate request with CA key
>   13 - [_] create Diffie-Hellman parameters (takes appr. 5min)
>   14 - [_] create .pem certificate and copy it to /usr/local/ssl/certs
>   15 - [_] create PKCS#12 document
>   16 - [_] check package dependent symbolic links
>   17 - show certificate file details
> 
> Please select (2,10-11,13-17), change (b)its/(h)ash, (q)uit?
> --------------------------------------------------------------------------

1 anwählen und dann dort mit 1 die Erstellung des CA aktivieren. Dabei witrd
auch automatisch der Name (2) auf ca festgelegt.

> Ich habe 2 und 10 ausgeführt. Danach hat Pos. 10 und 11 ein "[?]". Was
> bedeutet das? habe ich in der Doku nicht gefunden. Meint es, dass da nocht
> was zu machen ist. Nochmaliges 10 bring keine Änderung.
> 
> Wenn ich es richtig verstanden habe, dann bedeutet "[>]", dass hier
> weitergemacht werden soll. die 12 ist aber gar nicht anwählbar.

Erst wenn du ein CA hast, kannst du ein Serverzertifikat erzeugen.

Oben hast du auf Client/Server stehen, womit HIRO_CA ein Client/Server aber
kein CA ist.

In der PDF-Dokumentation ist das in Kapitel 19.9.2 (CA) und 19.9.3
(Serverzertifikat) bebildert beschrieben.

In der HTML-Doku hier:

http://www.eisfair.org/fileadmin/eisfair/doc/node20.html#SECTION002090000000000000000

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair