Peter Hoffmann schrieb:
> Mir ist irgedwie ganz dunkel in Erinnerung dass beim Wechsel von
> Versionen unter 1.x von OpenSSL alle Zertifikate neu erstellt werden
> müssen. Liege ich da richtig? Oder habe ich etwas anderes "verbaselt"?
Wahrscheinlich hast Du alle Zertifikate in einem eigenen
Unterverzeichnis, jeweils für jedes Zertifikat eine Datei mit einem
"seltsamen" Namen. Falls ja, ist das Problem der Dateiname, der aus dem
Inhalt des Zertifikates errechnet wird, und die Berechnung erfolgt ab
OpenSSL 1.x nach einem neuen Schema.
Die gute Nachricht: Es gibt im Quelltext von OpenSSL das Script
c_rehash, das die Umwandlung der Dateinamen durchführt.
Die schlechte Nachricht: Das ist ein Perlscript. Falls Du kein Perl
installiert hast, könntest Du von <
https://www.activestate.com/>
ActivePerl installieren. Das Script sollte auch unter Windows lauffähig
sein (es ist entgegen der Dokumentation nicht auf symlinks angewiesen),
falls aber etwas nicht funktioniert, ist die Fehlersuche für einen
unerfahrenen Nutzer eher schwierig.
Eine andere Lösung, automatisch die Dateien umzubenennen, habe ich nicht
gefunden.
> Falls ich die Zertifikat neu erstellen muss, habt ihr einen Tipp, wie
> ich das automatisieren kann? derzeit mache ich das alles von Hand nach
> einer (ur)alten pdf-Datei.
Eine Automatik kann ich nicht vorschlagen, mein Umgang mit Zertifikaten
ist anders: Ich habe alle nötigen Zertifikate in einer einzigen
*.pem-Datei, die zu Beginn erst einmal leer war. Sollte der Hamster dann
bei irgendeinem Server ein fehlendes Stammzertifikat melden, suche ich
dieses auf der Webseite des Ausstellers (oder, falls der das zu gut
versteckt hat, exportiere es aus Firefox) und trage es dann manuell in
die Zertifikatsdatei ein. Das macht anfangs etwas Arbeit, später muß man
nur noch Hand anlegen, wenn der Serverbetreiber eine andere Root-CA
benutzt oder das Zertifikat abgelaufen ist.
Die Struktur der Datei ist relativ einfach:
-----BEGIN RSA PRIVATE KEY-----
Falls Dein Hamster eine eigenes Zertifikat hat, kommt das hier hinein
-----END RSA PRIVATE KEY-----
Issuer: C=DE, O=Deutsche Telekom AG, OU=T-TeleSec Trust Center, CN=Deutsche Telekom Root CA 2
Subject: C=DE, O=Deutsche Telekom AG, OU=T-TeleSec Trust Center, CN=Deutsche Telekom Root CA 2
Date: Jul 9 12:11:00 1999 GMT - Jul 9 23:59:00 2019 GMT
-----BEGIN CERTIFICATE-----
MIIDnzCCAoegAwIBAgIBJjANBgkqhkiG9w0BAQUFADBxMQswCQYDVQQGEwJERTEc
...
Cm26OWMohpLzGITY+9HPBVZkVw==
-----END CERTIFICATE-----
Issuer: O=Root CA, OU=
http://www.cacert.org, CN=CA Cert Signing Authority, emailAddress=
sup...@cacert.org
Subject: O=Root CA, OU=
http://www.cacert.org, CN=CA Cert Signing Authority, emailAddress=
sup...@cacert.org
Date: Mar 30 12:29:49 2003 GMT - Mar 29 12:29:49 2033 GMT
-----BEGIN CERTIFICATE-----
MIIHPTCCBSWgAwIBAgIBADANBgkqhkiG9w0BAQQFADB5MRAwDgYDVQQKEwdSb290
...
omTxJBzcoTWcFbLUvFUufQb1nA5V9FrWk9p2rSVzTMVD
-----END CERTIFICATE-----
Issuer: O=Digital Signature Trust Co., CN=DST Root CA X3
Subject: O=Digital Signature Trust Co., CN=DST Root CA X3
Date: Sep 30 21:12:19 2000 GMT - Sep 30 14:01:15 2021 GMT
-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
...
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----
usw.
Wobei die Kommentare allerdings automatisch mit einem Perlskript
erstellt sind. Und da fällt mir gerade auf, daß mindestens ein
Zertifikat abgelaufen ist, muß ich gleich mal aufräumen.
Gruß Heiko
--
So mancher meint, ein gutes Herz zu haben, und hat nur schwache Nerven.
Marie Freifrau von Ebner-Eschenbach