[Eisfair_dev] UTF8-Umstellung und openssl - wie erkennen?

[Stephan Manske]

marcus.roeckrath at gmx.de (Marcus Roeckrath) schrieb:
> Stephan Manske wrote:

> > meine ich, daß ich keine openssl.cnf bzw nicht die normale auf dem
> > System benutze sondern selber eine client.cnf und ca.cnf baue, die
> > mir von Inhalt her von den freeradius vorgegeben wurden.
> 
> Ok, ich dachte Du sprichst von der openssl.cnf des certs-Paketes.

ne, das ist völlig unabhängig von meinem Paket


> > alle Paket-Nutzer, die wie ich vor rund einem Jahr ihre CA erzeugt
> > haben, hilft es weiter. Alles wird wieder funktionieren. Aber alle,
> > die später erst das Paket benutzt haben oder wie B. die CA jetzt neu
> > erstellt haben, deren CA ist utf8.
> 
> Sprichst Du vom CA-Zertifikat des Certs-Paketes oder ist dies nur eines
> innerhalb des freeradius-Paketes?

alles freeradius intern. Liegt alles unter /etc/raddb/certs

> > Wenn ich denen jetzt ein nombstr 
> > reinhaue, dann fluchen die! Weil dann paßt es für die nicht mehr.
> 
> Da ich freeradius nicht nutze unmd mir die ganze Konstruktion nur schwer
> vorstellen kann, kann ich da auch nur spekulieren.

Ich habe Skripte, die via setup-Menü aufgerufen werden.

Die erzeugen dynamisch wenn benötigt eine passende ca.cnf bzw.
client.cnf, wenn ein Zertifikat erstellt werden soll.

> Wie wärs mit zwei test.cnf's, eine mit nombstr und eine ohne diese Option.
> 
> Dann unter Benutzung dieser Konfigurationen testen, unter welcher
> Konfiguration ob sich die Zertifikate lesen lassen und daraufhin die


Ich kann mit

Was die CA nutzt kann ich so rausfinden:

| cd /etc/raddb/certs/
| openssl asn1parse -in ca.pem
|
| ...
|    44:d=4  hl=2 l=   9 cons: SEQUENCE
|    46:d=5  hl=2 l=   3 prim: OBJECT            :countryName
|    51:d=5  hl=2 l=   2 prim: PRINTABLESTRING   :DE
|    55:d=3  hl=2 l=  18 cons: SET
|    57:d=4  hl=2 l=  16 cons: SEQUENCE
|    59:d=5  hl=2 l=   3 prim: OBJECT            :stateOrProvinceName
|    64:d=5  hl=2 l=   9 prim: PRINTABLESTRING   :Somewhere
                            ^^^^^^^^^^^^^^^^^

                            oder eben utf-8


herausbekommen, was drinsteckt in der aktuellen ca.pem. Ein wenig
grep und Voodoo sollten daraus eine sichere Abfrage machen können.



> entsprechende Option in die normalen cnf's des freradius-Paketes setzen.

Die Frage ist halt nur, wann mache ich diese Abfrage, was scheint im
eisfair-System sinnvoller zu sein?

ich könnte:

a) in die Konfig kommt ein Schalter utf/nombstr


in das Paket-Update-Skript schreibe ich:

guck ob der Schalter schon da ist, wenn ja laß ihn in Ruhe
wenn nein, dann gucke ob schon ein ca.pem vorhanden ist, wenn nein,
setze nombstr
wenn ca.pem schon da, dann gucke was drin steht: setze Schalter
dementsprechend


in der cnf-Erzeugung für clients frage ich dann nur noch den Schalter
ab und setze entsprechend die string_mask


und beim erstellen einer komplett neuen CA-Struktur: setze nombstr

Vorteil: das ganze Abgefrage wird einmal zentral beim Update gemacht
und dann hab ich den Schalter

Nachteil: da ist ein Schalter in der Konfig, von der der Nutzer die
Finger lassen muß


b) ich frage jedesmal, wenn ich ein Zert erzeuge mit dem Kommando von
oben ab, was in ca.pem drinsteht und setze entsprechend string_mask.

Vorteil: Kein Schalter
Nachteil: muß jedesmal passieren und an etlichen Stellen eingebaut
werden




Ciao, Stephan

-- 
E-Mail: stephan at manske-net.de - WWW: http://stephan.manske-net.de/     //
                                                          PGP 2.6.3i \X/
WindowsError:00C Memory hog error.  More ram needed.  More!  More!