[Eisfair] mail 1.17.2 - nach update -> keine locale mails mehr

[Marcus Röckrath]

Hallo Jürgen,

Marcus Röckrath wrote:

> Das packt aber kein
> 
> X509v3 CRL Distribution Points:
> Full Name:
> URI:http://eis.senden.germany/certs/crl.pem
> 
> in das Zertifikat rein, wenn dies nicht enthalten ist, denn das tut die CA
> genau dann, wenn ein Zertifikat signiert wird (CSR).

Die entsprechende Änderung im Skript certs-create-tls-certs, die genau 
dieses Problem verursacht, datiert laut Repo-Browser vom 01.02.2015.

Damals wurde die Erweiterung

"reworked the 'sign_cert_req' function so that multiple DNS names and IP 
addresses are supported"

in das Skript eingearbeitet, die beim openssl-Signieraufruf die Option "-
extension v3_req" ergänzt, welche jedoch dazu fürht, dass die defaultmäßig 
in der openssl.cnf definierte extension SCA_ext "ausknipst.

Diese sorgt aber u. a. genau für die Einbindung der CRL-URL, es fehlen seit 
2015 dadurch aber weitere diverse Inhalte in einem Cert, als da wären:

keyUsage                 = digitalSignature, keyEncipherment
subjectKeyIdentifier     = hash
authorityKeyIdentifier   = keyid,issuer:always
crlDistributionPoints    = URI:http://...../certs/crl.pem
nsCertType               = server
nsBaseUrl                = http://...../
nsCaPolicyUrl            = URI:http://eis.senden.germany/certs/crl.pem
nsComment                = This certificate was issued by a Server CA
nsRevocationUrl          = cgi/non-CA-rev.cgi?

Für den Verwendungtyp User_CA (UCA_ext) und Root_CA (PCA_ext) passiert 
vergleichbares, wenn auch hier dann beim openssl-aufruf die Option "-
extension" benutzt wird.

Helppage von openssl:

 -extensions val         Extension section (override value in config file)

-- 
Gruß Marcus
[eisfair-Team]