[Eisfair_dev] certs v1.3.7 stable für eisfair-1

Juergen Edner juergen at eisfair.org
Do Feb 19 12:12:36 CET 2015 

Hallo Leute,
ich habe gerade eine neue Version des certs-Paketes auf Packe-Eis
abgelegt. Diese sollte spätestens in einer Stunde zur Installation
zur Verfügung stehen.

Die Funktion "Manage certificates" wurde komplett überarbeitet und
von diversem Ballast befreit, welcher in der Vergangenheit bei dem
einen oder anderen Anwender zu Konfusion geführt hat.
Darüber hinaus wurde die Dokumentation überarbeitet um die Schritte
zur Erstellung von Zertifikaten besser zu verdeutlichen. Aus diesem
Grund *empfehle ich jedem Nutzer* den Absatz "Die Zertifikate" erneut
zu lesen. Die integrierten Screenshots sollten den Ablauf verständlicher
machen.

http://www.eisfair.org/fileadmin/eisfair/doc/node19.html#SECTION001990000000000000000

Vielen Dank besonders an Alex Busam und Marcus Roeckrath die mich beim
Testen tatkräftig unterstützt und wertvolles Feedback gegeben haben.

Folgende Änderungen sind eingeflossen:

v1.3.7 - 14.02.2015 - stable
============================

* Konfiguration
  + /var/install/bin/certs-create-tls-certs - Bei der Erstellung
    von Zertifikatsanforderungen wird jetzt standardmäßig SHA384
    an Stelle von SHA512 verwendet, da dies von mehr Servern
    unterstützt wird.

  + In der Datei openssl.cnf wurde die Standardeinstellung des
    Parameters default_md von 'sha1' auf 'sha384' umgestellt.

  + /etc/default.d/certs, /etc/check.d/certs, /etc/check.d/certs.exp
    - Es wurde der Parameter CERTS_HASH_ALGORITHM hinzugefügt, über
    welchen ein vom Standard abweichender Hash-Algorithmus gesetzt
    werden kann.

  + /var/install/bin/certs-create-tls-certs - Beim Unterzeichen
    einer Zertifikatsanfrage wird nun auch der ausgewählte Hash-
    Algorithmus korrekt an den OpenSSL-Befehl übergeben.

  + /tmp/var_certs.tgz - Die Beschreibung des Zertifikats-
    parameters 'Common Name' wurde von 'eg, YOUR name' in 'eg,
    CA:Your name/CERT:FQDN) geändert, um deutlicher darauf
    hinzuweisen, dass bei der Zertifikatserstellung der Full
    Qualified Domain Name (FQDN) anzugeben ist.

  + /var/install/bin/certs-create-tls-certs - Das Skript wurde
    überarbeitet um dessen Handhabung verständlicher zu machen.
    - Für Benutzerinteraktion wird nun durchgängig der ask-
      Befehl verwendet.
    - Es werden nun standardmäßsig DH-Parameter mit einer einer
      Länge von 2048, an Stelle von 1024, erstellt.
    - Bei Auswahl des Zertifikatstyps 'client/server' wird nun
      auch 'client/server' an Stelle von 'client' angezeigt.
    - Bei 'client/server'-Zertifikaten ist es nun immer möglich
      auch DH-Parameter zu erzeugen. Dies war in der Vergangenheit
      nur möglich wenn man den Typ 'mail' oder 'web' ausgewählt
      hatte.
    - Die separaten Menüpunkte 'mail' und 'web' wurden entfernt,
      da diese eher zu Verwirrung den einer Klarstellung führten.
      Von Seiten des Zertifikats gab es hier bis auf die DH-
      Parameter keine Unterschiede.
    - Die Menüanzeige wurde optimiert um die Abfolge bei der
      Generierung von Zertifikaten deutlicher kenntlich zu machen.
    - Der bisherige Menüpunkt 17 (17 - send certificates by e-mail)
      wurde entfernt und direkt in die Hauptmenüzeile integriert
      ((e)mail certs).
    - Der bisherige Menüpunkt 16 (show key and certificate
      location) wurde nach 17 verschoben um Platz für den
      neuen Menüpunkt 16 (check package dependent symbolic
      links) zu schaffen und darüber hinaus in 'show certificate
      file details' umbenannt um weitere Funktionen bereitstellen
      zu können.
    - Über den neuen Menüepunkt 16 (check package dependent
      symbolic links) kann man sich nun die paketspezifischen
      Zertifikate bzw. deren symbolische Links auf das verwendete
      Hauptzertifikat anzeigen lassen und diese bei Bedarf
      anpassen.
    - Wenn eine vorhandene Schlüsseldatei überschrieben werden
      soll, werden die bisherigen Schlüssel- und Zertifikats-
      dateien nun zuvor archiviert und nicht gelöscht.
    - Vor dem Signieren eines Zertifikates wird nun nur noch dann
      zur Aktualisierung der Zertifikatsdatenbank aufgefordert,
      wenn diese älter als 24h ist.

  + /usr/bin/ssl/c_rehash - Vor dem Anlegen eines Hash-Links wird
    nun eine eventuell vorhandene Datei gelöscht, um sicher zu
    stellen, das ein symbolischer Link erstellt werden kann.

  + /usr/local/ssl/openssl.cnf - Es wurde das optionale Feld
    'subjectAltName' zur Konfiguration hinzugefügt, sodass
    bei der Erstellung einer Zertifikatsanfrage (CSR) alternative
    DNS Namen bzw. IP-Adressen in einem Zertifikat konfiguriert
    werden können. Es können mehrere, durch Komma getrennte
    Werte eingegeben werden. DNS-Namen ist dabei ein 'DNS:'
    voran zu stellen, IP-Adressen ein 'IP:.

  + /etc/default.d/certs, /etc/check.d/certs,
    /etc/check.d/certs.exp - Es wurde der Parameter
    CERTS_RSA_KEYBITS hinzugefügt, über welchen ein vom
    Standard abweichender Bit-Wert für die Erstellung von
    RSA-Schlüsseln gesetzt werden kann.

  + /var/install/bin/certs-update-crl - Es werden nun auch CRLs
    korrekt verarbeitet, die im DOS-Dateiformat vorliegen.

  + /var/install/bin/certs-send-invalid-certs-warning - Über
    dieses Skript ist es möglich alle vorhandenen Zertifikats-
    dateien auf Gültigkeit zu prüfen und bei Bedarf eine
    E-Mail an eine E-Mail-Adresse zu senden.

  + /var/install/bin/certs-show-index-file - Über dieses Skript
    ist es möglich sich den Inhalt der index.txt, d.h. dem
    zentralen Zertifikatsspeicher, anzeigen zu lassen um auf
    einfache Weise zu sehen, ob ein Zertifikat gültig oder
    abgelaufen ist bzw. widerrufen wurde.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair_dev