Beiträge von wm1

  • OpenSSl PKI

    Hallo Peter,

    danke für den Einblick in deine private CA, hast du super gemacht. Ich brauce einfach was fürs Web denn meine Freunde würden niemals einem privaten Schlüssel trauen, der nicht auf ihrem Rechner erzeugt wurde. Sie sagen dann: "Wenn ich den privaten Schlüssel nicht selbst erzeuge, dann brauche ich keine Verschlüsselung". Ich werde mal OpenCA ausprobieren, die letzte Änderung war da übrigens am 21.01.2015 in der libpki-0.8.8, ist also doch noch nicht verwaist das Projekt.

    Dann hab ich noch 2 Dokus (OSPKI und openca-guide.pdf) gefunden und hoffe dann den Zusammenbau von Policies in der *.conf zu verstehen, um verschiedene Zertifikate und Klassen von Zertifikaten herzustellen.

    MfG wm1

  • OpenSSl PKI

    Danke für deine Antwort SusiTux. Genau so eine Software suche ich, die mir eine CA übers Web zur Verfügung stellt wie ejbca nur ohne java und nicht so kompliziert zu installieren und sollte OpenSource sein, damit man die Wahrheit im Quellcode finden kann. Java macht ja auch schnellste Rechner langsam, hab ich selbst als jahrelanger Java-Entwickler erlebt. Da ich bei Zertifikaten niemandem mehr trauen kann und will, hab ich jetzt meine eigene OpenSSL CA und meine eigenen Zertifikate im apache und mumble installiert.

    Das Domain Problem mit der *-email.conf hab ich übrigens schon gelöst. Beim signieren des Request einfach mit dem -policy Parameter die andere Policy im cfg-file wählen.

    MfG wm1

    Was mir jetzt noch fehlt, ist ein vernünftiger Test des ganzen. Da bin ich schon mit Freunden am überlegen, wie wir das mal testen.

  • OpenSSl PKI

    Herzlichen Dank für eure Antworten. Im Moment reicht mir noch die Kommandozeile aus da ich ihr absolut vertraue und alles damit erledigen kann, auch ocsp. XCA ist zwar sehr nett und funzt gut, hat aber keine Web-Oberfläche.
    EJBCA ist komplizieret zu installieren, hat ne Web-Oberfläche, aber nicht mein absolutes Vertrauen da in Java als EJB. Da müsste man dann die Wahrheit im Quellcode finden um absolutes Vertrauen zu haben da Sun und Oracle amerikanische Firmen sind und denen pauschal nicht zu trauen ist.
    Den großen CA's ist aber auch nicht zu trauen, da die dazu übergehen, den Private-key zu speichern um bei Passwortverlust das Zertifikat wieder herzustellen und obendrein amerikanische oder israelische Unternehmen sind woraus folgt, pauschal nicht vertrauenswürdig. Da bleibt dann noch cacert.org aber da bekommt man nur Zertifikate für 3 Monate ohne von zig Leuten kontrolliert worden zu sein, son Quatsch völlig unpraktisch und nicht handhabbar. Wer fährt schon 200km zu ner signing-Party? Ich nicht.
    Ich hab doch durch scharfes hinsehen glatt ein Root-Zertifikat in meinem Win7 gefunden, dass von 1996 bis 2040 Gültigkeit hat und von einer dubiosen Root Agency ausgestellt war. Hab dann den Mist sofort in der Registry gelöscht und das Unterschieben von Zertifikaten durch Windows Update unterbunden. Beim BSI hat google hierauf keinen Hinweis gefunden.

    Ich denke ich werde noch mal die Advanced und Expert PKI Tutorials ausprobieren um mein Domain Problem zu lösen in der *.conf Datei. Da werd ich einfach mal eine andere policy probieren.

    Am liebsten wäre mir jedoch, jemand wüsste ein Web-Interface für OpenSSL auf python-django oder ruby-rails Basis.

    MfG wm1

  • OpenSSl PKI

    Hallo allerseits,

    ich habe nach folgender Anleitung eine Openssl Simple-PKI http://pki-tutorial.readthedocs.org/en/latest/simple/index.html aufgebaut. Die funktioniert sehr gut für Benutzer meiner Domain. Wie muss ich die email.conf verändern, um Zertifikate für andere Domains z.B meiner eMail wm1@xxxxxxx.de
    zu erstellen? Wie erstelle ich mit meiner CA Zertifikate für Freunde und Geschäftspartner, die kein Geld für Benutzer-Zertifikate ausgeben möchten und den amerikanischen und anderen CA's nicht vertrauen da sie deren Root-Zertifikate vom Rechner bzw Firefox entfernt haben? Ich selbst habe bereits auch Zertifikate von DigiNotar entfernt.