[Eisfair_dev] wieder ssl Probleme mit freeradius Zertifikaten

Stephan Manske usenet-reply at stephan.manske-net.de
Fr Jan 25 15:21:29 CET 2013


holgerbruenjes at gmx.net (Holger Bruenjes) schrieb:
> Am 2013-01-22 15:48, schrieb Stephan Manske:

> > Heißt das jetzt also im Ergebnis, daß das freeradius-Problem
> > losgelöst von allen eisfair-Paket-Updates (ssl, libC, wasweißich)
> > sein muß?
> 
> hmm, da habe ich leider keine Idee zu.

So, Problem ist (wahrscheinlich) gelöst, es war ein
freeradius-Fehler:


IIRC mit der 2.0.0 kam eine Änderung in das makefile von freeradius
im cert-Ordner. Da war ein Fehler drin:


ca.key ca.pem: ca.cnf index.txt serial


Damit wurde ca.key abhängig von Veränderungen in index.txt und
serial.

Beide Dateien werden verändert, wenn ein neues client cert erzeugt
wird.

Damit denkt make dann, daß auch ca.key erneuert werden muß und tut
dies auch glatt.

Damit sind dann aber alle früher erzeugten client certs nicht mehr zu
gebrauchen. :-(


Aufgrund eines Tipps habe ich nämlich mal mit openssl verify die
certs überprüft und mir fiel auf, daß immer der neueste client
doch noch fehlerfrei war.



Und da ich seit dem Update auf 2.0.0 vor einigen Monaten kein neuen
client erzeugt hatte, dies jetzt aber zum Testen der geupdateten
ssl-Version gemacht hatte, kam es, daß dieser Fehler gerade jetzt
nach dem ssl-Update bemerkbar wurde und ich natürlich keinen
Zusammenhang zu einem Update von vor Monaten gesehen hatte, sondern
eben mit den gerade aktuell durchgeführten (also ssl, libC, ...).


Aber nachdem ich mich in die Höhle des freeradius-Löwen nach
freeradius.users gewagt hatte und nachdem Alan von freeradius sich im
Laufe des Threads erstmal aufgeregt hatte, haben schlußendlich seine
Hinweise mich den Fehler in freeradius finden lassen und er
hat meiner Fehleranalyse zugestimmt und freeradius entsprechend
gepatcht. Natürlich ohne jede contribution note. Aber sei`s drum.

In der nächsten Version steht da jetzt:

ca.key ca.pem: ca.cnf
       @[ -f index.txt ] || $(MAKE) index.txt
       @[ -f serial ] || $(MAKE) serial


Ich ziehe dann gleich mal die eh noch nicht freigeschaltete
Paketversion 1.1.6 zurück und reiche eine 1.1.7 nach.


Und trotzalledem, ein herzliches Dankeschön für die Hilfestellungen
hier vor Ort!


Ciao, Stephan

-- 
E-Mail: stephan at manske-net.de - WWW: http://stephan.manske-net.de/     //
                                                          PGP 2.6.3i \X/
Famous last words des
Ehemanns:             Schiess ruhig, du bekommst doch keinen Nerz!


Mehr Informationen über die Mailingliste Eisfair_dev