Tanúsítvány probléma

Ubuntu Linux

Sziasztok!

Kezdő linuxosként kérem a segítségeteket.
Iskolánk Ubuntu-s levelező szervere az elődöm által gyártott tanúsítványt használ, amely lejárt.
(A kliensoldalon Mozilla Thunderbird-öt használunk.)
Semmilyen infó nincs arról, hogy pontosan milyen adatokkal készült a mailcert.pem.
Ami adatot ( AU, ST, L, O, OU, CN )lehetett, azt kibányásztam a lejárt tanúsítványból és készítettem egy újat, de természetesen nem lett az igazi.
(Tudom, hogy még néhány adat megadható a tanúsítvány készítése folyamán...)

A következő módon jártam el:
$ openssl genrsa -out nir.key 2048
$ openssl req -new -x509 -days 365 -key nir.key -out nir.crt
$ openssl genrsa -out smtpd.key 2048
$ openssl req -new -key smtpd.key -out smtpd.csr
$ openssl x509 -req -in smtpd.csr -out smtpd.crt -sha1 -CA nir.crt -CAkey nir.key -CAcreateserial -days 365
$ cat nir.key nir.crt > mailcert.pem

Majd következett a sikeres teszt:
$ openssl s_client -starttls smtp -crlf -connect localhost:25

A kérdésem: Lehet-e valamilyen módon a régi tanúsítvány alapján egy újat (következőt) készíteni, vagy teljesen elölről kell kezdeni az egészet?

Üdvözlettel,
János

  • 2635 megtekintés

( Mik v | 2009. 08. 27., cs – 10:49 )

Nemértem a kérdést.
Fejből nem tudom, de kb. 5-6 adatot kell kitölteni (cég neve, ország, megye, neved, e-mail címed) ez okoz fejtörést, vagy mi a probléma? Ha később nem akarsz ennyit "szenvedni" vele akkor beírod a openssl.cnf -ba...

A cég neve stb. adatokat kitöltöttem a készítés során (ezeket "bányásztam" ki a lejárt tanúsítványból), de a többi esetleges adatról (név, email, sorszám? stb.) nem tudok infót szerezni. Nem ismert, hogy az elődöm ezeket egyáltalán kitöltötte-e és ha igen, akkor pontosan milyen adatokkal a tanúsítvány elkészítése során...
Másik probléma, hogy nem az openssl.cnf-et használta, mert az még a "szűz gyári" default állapotban van...
Elolvastam már az idevágó man-okat, különféle fórumok topikjait, de a nem lettem okosabb.

Ha ez szűk körben használt szerver, teljesen lényegtelen, hogy mit írsz be, akár kitalált vagy random is lehet... Magandak írod alá a magad tanusítványát. Név a Te neved, mail a Te címed. Nem KELL ugyanannak lenni mint eddig, nem kötelező érvényű. Ha valami rendes fizetős cert lenne akkor lehet, hogy ez gond lenne, így nem.
Akkor lesz/lenne jelentősége, ha hirtelen megváltozik és biztos vagy benne, hogy nem Te vagy egy másik admin változtatta meg...

Az igaz, hogy szűk körben használjuk, de ez elég nagyszámú felhasználói gépet jelent az azokon a már lejárt tanúsítvány miatt visító Thunderbird levelező programokkal. Nem sok kedvem van egyenként "meghatni" azokat.
Sajnos az előzmény - a lejárt tanúsítvány - kihat az újra. Az újnál a Thunderbirdnek a hitelesítésszolgáltatóval van baja. Felismeri, de lehet, hogy annak az azonosítójával (sorozatszámával) van probléma?

Thuderbird nem tudom hogy kezeli, de lejárt tanusítvány miatt biztos, hogy mindegyiknél egyesével újra el kell fogadtatni. Ez a tanusítványosdi egyik lényege. A serial úgy tudom, hogy random és az már eleve rossz ha két tanusítvány sorszáma ugyanaz...
Courier-hez én mkimapdcert-el szoktam generálni a szükséges fájlokat.

Köszönöm a válaszokat és a segítséget.
Az a legnagyobb problémám, hogy nem találtam pontos leírást erről a nem lejárt vagy a már lejárt tanúsítvány után újat készítünk eljárásról és nem tudom, hogyan épül egymásra ez az egész rendszer. (Kell-e az érvényességi időtartamon kívül egyéb különbségnek lennie az új és a régi tanúsítvány között? Ha az openssl.cnf -et használjuk a készítésükkor, akkor mi az ábra? stb. stb.) Az openssl man-jában a parancsok számtalan paraméterezési lehetőségét találtam, de eredménytelenül.
Más topikban azt írták (Debian-ra), hogy a saját készítésű tanúsítványoknak ugyanaz a sorszáma és nem növekszik 1-gyel, mint egy "rendes" CA-snak. Nekem mindig más sorszámot ad a topik tetején leírt eljárás akkor is, ha annak során a -set_serial-lal megadom az új sorozatszámot.
A minden gépen történő elfogadtatást szeretném elkerülni...

Ha a hitelesítés-szolgáltató miatt sír, akkor vagy előkeresed azt a CA-t, aminek a remélhetőleg még sokáig érvényes tanusítványával alá lett írva a régi szervercerted, és azzal írod alá az újat, vagy goto 10, csinálsz egy új CA-t, jó sokáig érvényes certtel, aztán ennek a publikus felét, mint megbízható hitelesítésszolgáltatói tanusítványt szétszórod a klienseken, majd ezzel írod alá a szervered, meg minden más belső levelezős-webezős cucc tanusítványát.

( zeller | 2009. 08. 31., h – 15:41 )

Azt kell megnézned/tudnod, hogy a CA cert, amivel a jelenlegi, lejárt alá van írva, az hol található, mi a hozzá tartozó passphrase, hogy ne vinnyogjon a kliens az ismeretlen aláíró miatt.

A másik dolog meg az, hogy a 365 napra kiadott szerver certtel csak magadat sz1v@tod, ha nincs explicit belső szabályozás rá, illetve ha csak arra kell, hogy meglegyen a titkosítás, akkor nyugodtan csináld meg hosszabb távra.

Elnézést a kései reagálásért. Elhavaztak... Köszönöm az ötletet. Nem lesz egyszerű megtalálni a CA cert-et (ha egyáltalán megvan), de nekiállok a keresésének. (Ráadásul egy másik szerverünknél is ugyanilyen problémával küszködök.) Ha sikerül dűlőre jutnom, akkor ahogy javasoltad "örök" időre szóló tanúsítványt készítek...

A CA tanusítványát érdemes mondjuk 5-8 évre megcsinálni, majd valamilyen offline eszközön, páncélszekrényben is eltárolni, jelszavastól, mindenestől (zárt borítékban), a szerverekét meg 2-3 évre.

Kérdés, hogy kb. hány tanusítvány (szerver, illetve munkaállomás) érintett (most, vagy később) a dologban? Lehet, hogy kevesebb munka a jelenleg kint lévő CA-tanusítványt hagyni a fenébe, és kitolni egy újat, immáron megfelelően előre gondoskodva arról, hogy 2-9 év múlva is lehessen vele dolgozni (elrakni biztos, jól definiált helyre egy példányát,a hogy írtam).