[Eisfair] Certs signieren Werte fehlen, NCONF_get_string

So Jul 9 15:01:46 CEST 2023

Am 08.07.23 um 11:52 schrieb Andreas Hager:
> Hallo Alle,
> 
> beim Signieren meiner Mail-Zertikate kommt neuerdings Folgendes:
> 
> "003789B7:error:0700006C:configuration file routines:NCONF_get_string:no 
> value:crypto/conf/conf_lib.c:315:group=User_CA name=email_in_dn
> 003789B7:error:0700006C:configuration file routines:NCONF_get_string:no 
> value:crypto/conf/conf_lib.c:315:group=User_CA name=rand_serial"
> 
> Neuerdings heißt, dass der Rechner 4 Wo. außer Betrieb war und ich 
> danach einige abgelaufene Zertifikate hatte.
> Auch nach einem System-Upgrade ergab sich keine Änderung.
> 
> Ich dachte, ich find das selbst raus, habe die openssl.cnf auf die 
> Variablen email_in_dn und rand_serial geprüft.
> Die gibt es da aber nicht.
> 
> Wo kann ich denn noch gucken ?
> 
> Oder was ist denn da los ?
> 
> Andreas

email_in_dn ist eine ca Option des Config-Files.
Die manpage führt aus:

"email_in_dn

      das Gleiche wie -noemailDN. Wenn Sie möchten, dass das EMAIL-Feld 
aus dem DN des Zertifikats entfernt wird, setzen Sie dies einfach auf 
„Nein“. Wenn nicht vorhanden, wird standardmäßig die im DN des 
Zertifikats abgelegte EMAIL zugelassen."

Ich denke das eisfair-Script sollte erweitert werden:

"email_in_dn    = no                 # Don't add the email into cert DN"

-rand_serial ist eine openssl Programm-Option.

"rand_serial

      Generieren Sie eine große Zufallszahl, die als Seriennummer 
verwendet wird. Dies setzt alle Optionen oder Konfigurationen zur 
Verwendung einer Seriennummerndatei außer Kraft."

Auch dies muss wahrscheinlich in die Befehls-Zeile.
#rand_serial    = yes                  # for random serial#'s

Das Zertifikat konnte ich trotz der Meldungen signieren.
Wurde auch beim Abrufen von Mail´s vom Eisfair akzeptiert.
Also kein Streß !!!

Andreas