[Eisfair_dev] UTF8-Umstellung und openssl - wie erkennen?

Stephan Manske usenet-reply at stephan.manske-net.de
Mi Feb 4 02:09:37 CET 2015 

marcus.roeckrath at gmx.de (Marcus Roeckrath) schrieb:
> Stephan Manske wrote:

> > Irgendwann in 2014 wurde eisfair endgültig auf utf-8 umgestellt,
> > oder?
> 
> Falsch, es sind niermals bestehende Systeme auf utf8 umgestellt worden.
> 
> Das geht nur durch manuelles Vorgehen des eisfair-Admins.

nun, irgendwas muß sich da in Richtung utf8 getan haben, auch in
bestehenden Installationen und ohne aktives Umstellen. Sonst hätte
openssl nicht das Problem, das es nunmal in meinem Paket hat. Ggf.
ist auch nur das Standardverhalten von libssl verändert worden, keine
Ahnung.

> > Jedenfalls ist das das Problem. In meiner openssl.cnf bzw. 
> > client/ca.cnf ist kein encoding via string_mask vorgeschrieben.
> 
> Wenn das freeradius-Paket nicht mit beliebigen Zeichensatzkodierungen
> klarkommt, ist das ein Problem des Paketes, um das sich der Autor kümmern
> müsste.

Der Autor bin ich! und ich versuche gerade mich darum zu kümmern. :-/

Ich weiß halt nur noch nicht so recht, wie ich das am besten ohne
Komplikationen für alle umsetzen soll.

(Es sei denn man wollte den schwarzen Peter an das libssl Paket
weiterreichen - denn es ist ja letzlich openssl was ein Problem hat.
Allerdings nur, weil ich bislang nie ein string_mask in meinem
freeradius Paket in die cnf-Dateien geschrieben habe)


> > Nur, was mache ich fürs Paket? Wenn ich jetzt meinen Patch in das
> > offizielle Paket einfließen lasse, dann hat er wieder das Problem,
> > seine CA ist dann utf8 und für neue Clients würde mein Patch dann
> > wieder nombstr erzwingen. Das gleiche gilt für alle, die nach der
> > utf8-Umstellung erstmals das Paket installiert haben.
> 
> Das Paket/Programm muss IMHO mit beliebigen Kodierungen klarkommen.

NACK. Openssl erstellt aus xxx.cnf Dateien die Zertifikat-Requests.
Welche Kodierung in den cnf-Dateien drin steht, das ist (wohl) völlig
gleich. Aber in den Requests wird eine konkrete Kodierung benutzt und
das vererbt sich dann in das CA Cert ca.pem. Und danach werden client
Requests erstellt. Und die in diesem Request benutze Koedierung muß
mit der in dem ca.pem übereinstimmen. Tut sie aber nicht mehr.
Deshalb will ich in Zukunft dafür sorgen, daß per string_mask in dem
Client Request immer die Kodierung verwendet wird, die im ca.pem drin
steckt. Nur wie ich das am besten anstelle, da frage ich gerade hier
um Hilfe - siehe mein Ausgangsposting.



Ciao, Stephan

-- 
E-Mail: stephan at manske-net.de - WWW: http://stephan.manske-net.de/     //
                                                          PGP 2.6.3i \X/
Unter einem Dementi versteht man in der Diplomatie die verneinende
Bestätigung einer Nachricht, die bisher lediglich ein Gerücht gewesen ist.
                                                         John B.Priestley

Mehr Informationen über die Mailingliste Eisfair_dev