[Eisfair_dev] UTF8-Umstellung und openssl - wie erkennen?

Mo Feb 9 16:50:08 CET 2015

Hallo Stephan,

Stephan Manske wrote:

> Ich habe Skripte, die via setup-Menü aufgerufen werden.
> 
> Die erzeugen dynamisch wenn benötigt eine passende ca.cnf bzw.
> client.cnf, wenn ein Zertifikat erstellt werden soll.
> 
> Ich kann mit
> 
> Was die CA nutzt kann ich so rausfinden:
> 
> | cd /etc/raddb/certs/
> | openssl asn1parse -in ca.pem
> |
> | ...
> |    44:d=4  hl=2 l=   9 cons: SEQUENCE
> |    46:d=5  hl=2 l=   3 prim: OBJECT            :countryName
> |    51:d=5  hl=2 l=   2 prim: PRINTABLESTRING   :DE
> |    55:d=3  hl=2 l=  18 cons: SET
> |    57:d=4  hl=2 l=  16 cons: SEQUENCE
> |    59:d=5  hl=2 l=   3 prim: OBJECT            :stateOrProvinceName
> |    64:d=5  hl=2 l=   9 prim: PRINTABLESTRING   :Somewhere
>                             ^^^^^^^^^^^^^^^^^
> 
>                             oder eben utf-8
> 
> 
> herausbekommen, was drinsteckt in der aktuellen ca.pem. Ein wenig
> grep und Voodoo sollten daraus eine sichere Abfrage machen können.
> 
>> entsprechende Option in die normalen cnf's des freradius-Paketes setzen.
> 
> Die Frage ist halt nur, wann mache ich diese Abfrage, was scheint im
> eisfair-System sinnvoller zu sein?

Immer dann, wenn Deine cnf's erzeugt werden; also rein damit ind die
cnf-create-Skripte.

> ich könnte:
> 
> a) in die Konfig kommt ein Schalter utf/nombstr

Dann erklär mal den User den Sinn dieser Option, die nur ein Problem
kaschiert.

> dann gucke ob schon ein ca.pem vorhanden ist, wenn nein,
> setze nombstr
> wenn ca.pem schon da, dann gucke was drin steht: setze Schalter
> dementsprechend

So etwas kann doch in das cnf-create-Skript rein (s. o.), oder?

> b) ich frage jedesmal, wenn ich ein Zert erzeuge mit dem Kommando von
> oben ab, was in ca.pem drinsteht und setze entsprechend string_mask.

IMHO besser.

-- 
Gruss Marcus