[Eisfair_dev] UTF8-Umstellung und openssl - wie erkennen?

Stephan Manske usenet-reply at stephan.manske-net.de
Mo Feb 2 03:23:08 CET 2015 

Hi!


es gab ja vor einiger Zeit hier den Bugreport, daß sich in meinem
freeradius-Paket keine neuen Zertifikate erstellen lassen.

Inzwischen habe ich das Problem lokalisieren und prinzipiell auch
lösen können - fürs weitere brauche ich aber Unterstützung /
Ratschläge:


Irgendwann in 2014 wurde eisfair endgültig auf utf-8 umgestellt,
oder? Jedenfalls ist das das Problem. In meiner openssl.cnf bzw.
client/ca.cnf ist kein encoding via string_mask vorgeschrieben.
Das CA Zertifikat wurde daher bislang (bei mir und auch beim
Bugreporter) mit PRINTABLESTRING erstellt. Für aktuelle Client
Zertifikate wird nun aber der neue Systemstandard utf8 benutzt. Das
führt dann dazu, daß vermeintlich Parameter nicht mehr
übereinstimmen.

Ich habe für eine interne Testversion erstmal string_mask = nombstr
überall reingeschrieben. Und schon geht es wieder. Der Bugreporter
hat den anderen Weg gewählt und die CA-Struktur komplett neu
erstellt, ohne Vorgabe wurde da dann jetzt für alles utf8 genutzt.
Läuft auch.

Nur, was mache ich fürs Paket? Wenn ich jetzt meinen Patch in das
offizielle Paket einfließen lasse, dann hat er wieder das Problem,
seine CA ist dann utf8 und für neue Clients würde mein Patch dann
wieder nombstr erzwingen. Das gleiche gilt für alle, die nach der
utf8-Umstellung erstmals das Paket installiert haben.

Jetzt einfach andersrum utf8 zu erzwingen via string_mask würde
bei meiner Installation und allen anderen mit älteren CAs zum
Konflikt führen.


Was mache ich jetzt? Eine Abfrage erstellen "welches encoding nutzt
die CA?" und entsprechend in client.cnf das passende string_mask
reinschreiben? Oder lieber einen Schalter in der Paket-Konfig?



Was die CA nutzt kann ich so rausfinden:

| cd /etc/raddb/certs/
| openssl asn1parse -in ca.pem
| 
| ...
|    44:d=4  hl=2 l=   9 cons: SEQUENCE
|    46:d=5  hl=2 l=   3 prim: OBJECT            :countryName
|    51:d=5  hl=2 l=   2 prim: PRINTABLESTRING   :DE
|    55:d=3  hl=2 l=  18 cons: SET
|    57:d=4  hl=2 l=  16 cons: SEQUENCE
|    59:d=5  hl=2 l=   3 prim: OBJECT            :stateOrProvinceName
|    64:d=5  hl=2 l=   9 prim: PRINTABLESTRING   :Somewhere
|    75:d=3  hl=2 l=  18 cons: SET
|    77:d=4  hl=2 l=  16 cons: SEQUENCE
|    79:d=5  hl=2 l=   3 prim: OBJECT            :localityName
|    84:d=5  hl=2 l=   9 prim: PRINTABLESTRING   :Somewhere
|    95:d=3  hl=2 l=  19 cons: SET
| ...


Ciao, Stephan

-- 
E-Mail: stephan at manske-net.de - WWW: http://stephan.manske-net.de/     //
                                                          PGP 2.6.3i \X/
Karl Ramseier ist tot!

Mehr Informationen über die Mailingliste Eisfair_dev