[Eisfair_dev] certs v1.3.7 stable für eisfair-1
Juergen Edner
juergen at eisfair.org
Do Feb 19 12:12:36 CET 2015
Hallo Leute,
ich habe gerade eine neue Version des certs-Paketes auf Packe-Eis
abgelegt. Diese sollte spätestens in einer Stunde zur Installation
zur Verfügung stehen.
Die Funktion "Manage certificates" wurde komplett überarbeitet und
von diversem Ballast befreit, welcher in der Vergangenheit bei dem
einen oder anderen Anwender zu Konfusion geführt hat.
Darüber hinaus wurde die Dokumentation überarbeitet um die Schritte
zur Erstellung von Zertifikaten besser zu verdeutlichen. Aus diesem
Grund *empfehle ich jedem Nutzer* den Absatz "Die Zertifikate" erneut
zu lesen. Die integrierten Screenshots sollten den Ablauf verständlicher
machen.
http://www.eisfair.org/fileadmin/eisfair/doc/node19.html#SECTION001990000000000000000
Vielen Dank besonders an Alex Busam und Marcus Roeckrath die mich beim
Testen tatkräftig unterstützt und wertvolles Feedback gegeben haben.
Folgende Änderungen sind eingeflossen:
v1.3.7 - 14.02.2015 - stable
============================
* Konfiguration
+ /var/install/bin/certs-create-tls-certs - Bei der Erstellung
von Zertifikatsanforderungen wird jetzt standardmäßig SHA384
an Stelle von SHA512 verwendet, da dies von mehr Servern
unterstützt wird.
+ In der Datei openssl.cnf wurde die Standardeinstellung des
Parameters default_md von 'sha1' auf 'sha384' umgestellt.
+ /etc/default.d/certs, /etc/check.d/certs, /etc/check.d/certs.exp
- Es wurde der Parameter CERTS_HASH_ALGORITHM hinzugefügt, über
welchen ein vom Standard abweichender Hash-Algorithmus gesetzt
werden kann.
+ /var/install/bin/certs-create-tls-certs - Beim Unterzeichen
einer Zertifikatsanfrage wird nun auch der ausgewählte Hash-
Algorithmus korrekt an den OpenSSL-Befehl übergeben.
+ /tmp/var_certs.tgz - Die Beschreibung des Zertifikats-
parameters 'Common Name' wurde von 'eg, YOUR name' in 'eg,
CA:Your name/CERT:FQDN) geändert, um deutlicher darauf
hinzuweisen, dass bei der Zertifikatserstellung der Full
Qualified Domain Name (FQDN) anzugeben ist.
+ /var/install/bin/certs-create-tls-certs - Das Skript wurde
überarbeitet um dessen Handhabung verständlicher zu machen.
- Für Benutzerinteraktion wird nun durchgängig der ask-
Befehl verwendet.
- Es werden nun standardmäßsig DH-Parameter mit einer einer
Länge von 2048, an Stelle von 1024, erstellt.
- Bei Auswahl des Zertifikatstyps 'client/server' wird nun
auch 'client/server' an Stelle von 'client' angezeigt.
- Bei 'client/server'-Zertifikaten ist es nun immer möglich
auch DH-Parameter zu erzeugen. Dies war in der Vergangenheit
nur möglich wenn man den Typ 'mail' oder 'web' ausgewählt
hatte.
- Die separaten Menüpunkte 'mail' und 'web' wurden entfernt,
da diese eher zu Verwirrung den einer Klarstellung führten.
Von Seiten des Zertifikats gab es hier bis auf die DH-
Parameter keine Unterschiede.
- Die Menüanzeige wurde optimiert um die Abfolge bei der
Generierung von Zertifikaten deutlicher kenntlich zu machen.
- Der bisherige Menüpunkt 17 (17 - send certificates by e-mail)
wurde entfernt und direkt in die Hauptmenüzeile integriert
((e)mail certs).
- Der bisherige Menüpunkt 16 (show key and certificate
location) wurde nach 17 verschoben um Platz für den
neuen Menüpunkt 16 (check package dependent symbolic
links) zu schaffen und darüber hinaus in 'show certificate
file details' umbenannt um weitere Funktionen bereitstellen
zu können.
- Über den neuen Menüepunkt 16 (check package dependent
symbolic links) kann man sich nun die paketspezifischen
Zertifikate bzw. deren symbolische Links auf das verwendete
Hauptzertifikat anzeigen lassen und diese bei Bedarf
anpassen.
- Wenn eine vorhandene Schlüsseldatei überschrieben werden
soll, werden die bisherigen Schlüssel- und Zertifikats-
dateien nun zuvor archiviert und nicht gelöscht.
- Vor dem Signieren eines Zertifikates wird nun nur noch dann
zur Aktualisierung der Zertifikatsdatenbank aufgefordert,
wenn diese älter als 24h ist.
+ /usr/bin/ssl/c_rehash - Vor dem Anlegen eines Hash-Links wird
nun eine eventuell vorhandene Datei gelöscht, um sicher zu
stellen, das ein symbolischer Link erstellt werden kann.
+ /usr/local/ssl/openssl.cnf - Es wurde das optionale Feld
'subjectAltName' zur Konfiguration hinzugefügt, sodass
bei der Erstellung einer Zertifikatsanfrage (CSR) alternative
DNS Namen bzw. IP-Adressen in einem Zertifikat konfiguriert
werden können. Es können mehrere, durch Komma getrennte
Werte eingegeben werden. DNS-Namen ist dabei ein 'DNS:'
voran zu stellen, IP-Adressen ein 'IP:.
+ /etc/default.d/certs, /etc/check.d/certs,
/etc/check.d/certs.exp - Es wurde der Parameter
CERTS_RSA_KEYBITS hinzugefügt, über welchen ein vom
Standard abweichender Bit-Wert für die Erstellung von
RSA-Schlüsseln gesetzt werden kann.
+ /var/install/bin/certs-update-crl - Es werden nun auch CRLs
korrekt verarbeitet, die im DOS-Dateiformat vorliegen.
+ /var/install/bin/certs-send-invalid-certs-warning - Über
dieses Skript ist es möglich alle vorhandenen Zertifikats-
dateien auf Gültigkeit zu prüfen und bei Bedarf eine
E-Mail an eine E-Mail-Adresse zu senden.
+ /var/install/bin/certs-show-index-file - Über dieses Skript
ist es möglich sich den Inhalt der index.txt, d.h. dem
zentralen Zertifikatsspeicher, anzeigen zu lassen um auf
einfache Weise zu sehen, ob ein Zertifikat gültig oder
abgelaufen ist bzw. widerrufen wurde.
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair_dev