openssl Zertifikat automatisch erstellen

Dieses Thema im Forum "Shell-Skripte" wurde erstellt von panzaeron, 04.01.2007.

  1. #1 panzaeron, 04.01.2007
    panzaeron

    panzaeron Jungspund

    Dabei seit:
    22.09.2006
    Beiträge:
    19
    Zustimmungen:
    0
    Hallo, nach dem mein sed-Problem gelöst ist, gleich die nächste Frage :)

    Ich möchte durch ein Skript möglichst automatisch openssl Zertifikate für OpenVPN-Clients erstellen.

    Bisher erstelle ich die Clients so:
    Code:
    ...
    #
    # Schlüsselpaar generieren
    #
    if test $KEY_DIR; then
        echo "Generiere Schlüsselpaar für $BK..."
        openssl req -days 3650 -nodes -new -keyout $KEY_DIR/vpn_$BK.key -out $KEY_DIR/vpn_$BK.csr -config $KEY_CONFIG && \
        openssl ca -days 3650 -out $KEY_DIR/vpn_$BK.crt -in $KEY_DIR/vpn_$BK.csr -config $KEY_CONFIG -subject && \
        chmod 0600 $KEY_DIR/vpn_$BK.key
    else
        echo 'Kein Schlüsselverzeichnis (KEY_DIR) definiert.'
        exit 1;
    fi
    
    wobei $BK ein Benutzerkürzel ist, welcher beim Aufrufen des Skripts übergeben wird. Soweit funktioniert das alles ganz gut. Aber leider fragt openssl beim erstellen noch verschiedene Parameter ab:
    Code:
    ..
    writing new private key to '/etc/openvpn/keys/vpn_sdas.key'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [DE]:
    State or Province Name (full name) [Bundesland]:
    Locality Name (eg, city) [Stadt]:
    Organization Name (eg, company) [Firma]:
    Organizational Unit Name (eg, section) []:
    Common Name (eg, your name or your server's hostname) []: vpn_BK
    Email Address [bbs@bbs-walsrode.de]:mail@adresse.de
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
    ..
    Sign the certificate? [y/n]:y
    1 out of 1 certificate requests certified, commit? [y/n]y
    
    Die Angaben die abgefragt werden, sollen mit Standardwerten bzw. mit Werten aus einer Datenbank automatisch ausgefüllt werden. Kann ich diese in den openssl Aufruf integrieren? Ich habe im Internet und der Doku keine passenden Optionen gefunden. Hat jemand einen Rat?
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Schlaubi_fi.de, 05.01.2007
    Schlaubi_fi.de

    Schlaubi_fi.de Mac OS X User

    Dabei seit:
    22.12.2004
    Beiträge:
    304
    Zustimmungen:
    0
  4. #3 panzaeron, 05.01.2007
    panzaeron

    panzaeron Jungspund

    Dabei seit:
    22.09.2006
    Beiträge:
    19
    Zustimmungen:
    0
    @Schlaubi_fi.de
    Vielen Danke für den Hinweis, expect kannte ich noch gar nicht.
    Für mein openssl Problem hab ich aber eine bessere Lösung gefunden, manchmal hilft es nur die Doku detailliert zu lesen ;)
    Die Informationen kann man mit dem Parameter -subj "...Infos..." vorgeben und die sonstigen Abfragen mit dem Parameter -batch unterbinden. So funktioniert es bei mir.
     
  5. #4 Schlaubi_fi.de, 05.01.2007
    Schlaubi_fi.de

    Schlaubi_fi.de Mac OS X User

    Dabei seit:
    22.12.2004
    Beiträge:
    304
    Zustimmungen:
    0
    Hallo,

    sowas ähnliches habe ich mir schon gedacht, nur war ich zu faul
    die openssl man-Page zu lesen :D
    Natürlich viel viel besser! Da sparst Du Dir ein Haufen Arbeit, aber ich
    denke gut zu wissen, dass man interaktive Abfragen (wie bei ftp, telnet und
    Konsorten) auch mit expect bewältigen könnte oder? *g
     
  6. #5 Daniel Wegemer, 09.01.2007
    Daniel Wegemer

    Daniel Wegemer Grünschnabel

    Dabei seit:
    01.11.2006
    Beiträge:
    5
    Zustimmungen:
    0
    Hi,

    erst mal danke für den Tipp aber:

    Wie hast du es fertiggebracht die y/n Abfrage im 2. Befehl wegzukriegen
    Am besten wäre es auch wenn die Passwortabfrage wegfällt.

    mfg Daniel
     
  7. #6 panzaeron, 09.01.2007
    panzaeron

    panzaeron Jungspund

    Dabei seit:
    22.09.2006
    Beiträge:
    19
    Zustimmungen:
    0
    @schlaubi_fi.de
    Da hast du recht, ich denke das werde ich auch nochmal brauchen :)

    @Daniel Wegemer
    Meine Befehlszeile sieht so aus:
    Code:
    openssl req -days 3650 -nodes -new -keyout client.key -out client.csr -config \pfad\zu\configs \
    -subj "/C=DE/ST=Bundesland/L=Stadt/O=Organisation/CN=EindeutigerName/emailAddress=EMAILADRESE" \
    -passin pass:PASSWORT -passout pass:PASSWORT && \
    openssl ca -days 3650 -out client.crt -in client.csr -config \pfad\zu\configs \
    -batch -passin pass:PASSWORT -key password && \
    chmod 0600 client.key
    Ich hab keine Passwortabfrage mehr, allerdings sollte so beim Verbinden nach dem Passwort gefragt werden, was nicht geschieht, also so ganz 100%ig ist es noch nicht.
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  9. #7 Daniel Wegemer, 13.01.2007
    Daniel Wegemer

    Daniel Wegemer Grünschnabel

    Dabei seit:
    01.11.2006
    Beiträge:
    5
    Zustimmungen:
    0
    Hi panzaeron,

    danke für dein Script. Aber nun stehe ich vor einem neuen Problem. Du musst ja den Befehl "openssl" mit root Rechten ausführen und da ich Ubuntu benutze muss ich da ja ein sudo davorsetzen. Jetzt fragt er mich natürlich nach einem Passwort !
    Wenn ich openssl ohne ein "sudo" vorraus eingebe kann er z.b. mit fopen seine eigenen erstellten dateien nicht öffnen?!

    Kann ich das mit irgendwelchen anderen Rechten ändern?

    mfg Daniel
     
  10. #8 Wolfgang, 14.01.2007
    Wolfgang

    Wolfgang Foren Gott

    Dabei seit:
    24.04.2005
    Beiträge:
    3.978
    Zustimmungen:
    0
    Ort:
    Erfurt
    Hallo
    Du könntest z.B. deine sudoerrs anpassen.
    Gruß Wolfgang
     
Thema:

openssl Zertifikat automatisch erstellen

Die Seite wird geladen...

openssl Zertifikat automatisch erstellen - Ähnliche Themen

  1. Erstellen von Zertifikate mit OpenSSL gelingt mir nicht

    Erstellen von Zertifikate mit OpenSSL gelingt mir nicht: Hallo zusammen Bin dabei mich in das Thema Zertifikate besser einzuarbeiten und wollte mal einige Tests zum Verständnis machen. Leider...
  2. BSI-Audit findet keine akuten Probleme in OpenSSL

    BSI-Audit findet keine akuten Probleme in OpenSSL: Das Bundesamt für Sicherheit in der Informationstechnik hat OpenSSL auf seine Sicherheit untersuchen lassen. Die Analyse zeigt vor allem, dass die...
  3. BSI-Audit findet keine akute Probleme in OpenSSL

    BSI-Audit findet keine akute Probleme in OpenSSL: Das Bundesamt für Sicherheit in der Informationstechnik hat OpenSSL auf seine Sicherheit untersuchen lassen. Die Analyse zeigt vor allem, dass die...
  4. OpenSSL-Sicherheit im Rückblick

    OpenSSL-Sicherheit im Rückblick: Das OpenSSL-Projekt hat eine Bilanz der Sicherheitslücken der letzten zwölf Monate gezogen. Höhere Sicherheit ist das wichtigste Ziel des...
  5. Lizenzwechsel bei OpenSSL

    Lizenzwechsel bei OpenSSL: Das OpenSSL-Projekt will die eigene Lizenz ändern und die Quellen künftig unter den Bedingungen der Apache-2.0-Lizenz vertreiben. Zudem sollen...