OpenSSL - sttworzenie własnego centrum - błędy przy tworzeniu certyfikatu

[placebo]

Chciałem stworzyć swoje własne Centrum certyfikacji (na potrzeby zajęć) przy uzyciu OpenSSL'a. To mój plik konfiguracyjny:

Kod: Zaznacz cały

HOME = .
[ca]
default_ca = CA_default
[CA_default]
dir = /home/student/ca
crl_dir = $dir/crl
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certifcate = $dir/cert.pem
serial = $dir/serial.txt
crl = $dir/crl.pem
private_key = $dir/private/privkey.pem
RANDFILE = $dir/rand

default_days = 365
default_crl_days= 30
default_md = md5 
preserve = no
policy = policy_1

[req]
default_bits = 1024
default_keyfle = privkey.pem
prompt = no
string_mask = nombstr
distinguished_name = req_distinguished_name
x509_extensions = req_x509_ext

[req_x509_ext]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always
basicConstraints = CA:true
nsCertType = sslCA
keyUsage = cRLSign,keyCertSign
nsComment = Lab IT

[req_distinguished_name]
countryName = PL
localityName = Warszawa
organizationName = UJ
organizationalUnitName = II
commonName = Uniwersytet Jagiellonski
commonName_max = 64
emailAddress = admin@uj.pl

[policy_1]
countryName = supplied
localityName = optional
organizationName = supplied
organizationalUnitName = optional
commonName = supplied
surname = supplied
emailAddress = supplied

[crl_ext]
authorityKeyIdentifier = keyid:always,issuer:always

Przed wydaniem komendy :

Kod: Zaznacz cały

openssl req -config ca.config -new -x509 -out CC.cert

gdzie ca.config to moj plik konfiguracyjny, stworzyłem katalogi : crl,newcerts oraz private. Stworzyłem też pliki: (w katalogu /home/student/ca) index.txt (pusty), serial.txt (wpisałem do niego 01), oraz rand (wpisałem do niego jakieś śmieci).

Jednak po wydaniu komendy:

Kod: Zaznacz cały

openssl req -config ca.config -new -x509 -out CC.cert

dostaję błędy:

Kod: Zaznacz cały

problems making Certificate Request
2053:error:0D06407A:asn1 encoding routines:a2d_ASN1_OBJECT:first num too large:a_object.c:109:
2053:error:0B083077:x509 certificate routines:X509_NAME_ENTRY_create_by_txt:invalid field name:x509name.c:285:name=commonName_max

I kompletnie nie wiem, gdzie jest błąd i jak go poprawić, tak, żeby stworzyć swoje CA. Może ktoś pomoże?

EDIT:
Naprawdę nikt nie wie, co tu poprawić? Ja już nie mam siły .... Nikt z Was nigdy tego nie robił?

[jacekalex]

Spróbowałeś tylko na Ubuntu, czy na innych linuxach też?
Bo na potrzeby zajeć weź lepiej Debiana Lenny, zamiast Ubuntu 8.04, jest wyraźnie stabilniejszy i bardziej przewidywalny.

Zainteresuj się skryptami easy-rsa z openvpn, albo programem tinyca2.

A po za tym w tym konfigu też jest jakiś błąd, - u mnie mam dokładnie ten sam komunikat na twoim konfigu, natomiast na konfigu zrobionym w tinyca generuje klucze i certyfikaty bez problemu.

Kod: Zaznacz cały

~ $ ls -l $HOME/.TinyCA/local
razem 40
-rw------- 1 user user 1751 01-08 09:52 cacert.key
-rw------- 1 user user 1826 01-08 09:52 cacert.pem
-rw-r--r-- 1 user user 1045 01-08 09:56 cacert.req
drwx------ 2 user user 4096 01-08 09:52 certs
drwx------ 2 user user 4096 01-08 09:52 crl
-rw------- 1 user user    0 01-08 09:52 index.txt
drwx------ 2 user user 4096 01-08 09:52 keys
drwx------ 2 user user 4096 01-08 09:52 newcerts
-rw------- 1 user user 3869 01-08 09:58 openssl.cnf
drwx------ 2 user user 4096 01-08 09:52 req
-rw------- 1 user user    2 01-08 09:52 serial

chyba tak ma wyglądać wynik?

Po za tym:

Kod: Zaznacz cały

 $ ls -l /etc/ssl/misc
razem 40
-rwxr-xr-x 1 root root 5679 12-04 21:36 CA.pl
-rwxr-xr-x 1 root root 5175 12-04 21:36 CA.sh
-rwxr-xr-x 1 root root  119 12-04 21:36 c_hash
-rwxr-xr-x 1 root root  152 12-04 21:36 c_info
-rwxr-xr-x 1 root root  112 12-04 21:36 c_issuer
-rwxr-xr-x 1 root root  110 12-04 21:36 c_name
-rwxr-xr-x 1 root root 6419 12-04 21:36 tsget

Sznurek:
http://bs2000.ts.fujitsu.com/download/G ... CA.pl.html

[placebo]

Uzywam Ubuntu 10.4 PL bo na takim działamy na zajeciach, i wolę jednak na nim wszystko też robić. Niestety, to się nie uda (chodzi mi o programy, które mi poleciłeś), bo wykładowca kazał nam wszystko robić ręcznie. Rzeczywiście tu musi być bląd gdzieś, tylko ja go ciągle nie widzę Spróbuję jeszcze dzisiaj przekopiować z /etc/ssl/openssl.config i na nim nanieść swoje modyfikacje, może się uda, zwrócę sie z prośbą o pomoc w razie czego na forum, bo wiedzę, że wiesz o co mi chodzi (tzn. OpenSSL znasz )

[jacekalex]

Jak to informatyka, to zajrzyj po prostu do skryptu CA.sh z Openssl i po sprawie.

A co do mnie, nie znam OpenSSL, używam czasami OpenVPN, a tam się generuje certyfikaty SSL.
Też zrobiłem trochę certyfikatów do Serwerów wg przepisów z netu.

Ale ekspertem od ssl nie jestem.
A tu są niezłe przykłady.

[placebo]

Ok, dzięki udało się Jak mówiłem, skopiowałem sobie z /etc/ssl/ plik opensssl.cfg, zedytowałem go do swoich potrzeb (powycinałem, podopisywałem kilka linijek) i poszło Nie mam pojęcia, gdzie tam wyżej był błąd ... nie mam na razie czasu, by się z tym bawić i sprawdzać Jak ktoś ma ochotę, niech zobaczy, ja napisałem rozwiązanie, być może komuś kiedyś sie przyda. Dzięki za wszystko!