---

Er der nogen, der har faaet ovenstaaende til at virke? Jeg forsoeger
mig med fremgangsmaaden beskrevet paa 'http://www.pseudonym.org/ssl/',
men jeg kan ikke faa netscape til at fatte certifikatet. Den genererer
en certifikat-request i /tmp, og naar jeg manuelt koerer
'/opt/ole/bin/openssl ca -config /opt/ole/ssl/openssl.cnf -spkac
/tmp/cert16.req -out /tmp/cert16.result -days 360' (som mit cgi-script
returnerer oeverst paa den side, der siger at det ikke lykkedes), gaar
det fint - bortset fra at jeg ikke kan importere dette certifikat
(cert16.result) i netscape. Korrupt eller ugyldig fil, siger den...

Nogen, der har nogle erfaringer, de vil dele af?

-- O l e.

---

On 26 Mar 2001 18:03:18 +0200, Ole Michaelsen <omic+usenet1@fys.ku.dk>
wrote:

>Er der nogen, der har faaet ovenstaaende til at virke?

Ja.

> Jeg forsoeger
>mig med fremgangsmaaden beskrevet paa 'http://www.pseudonym.org/ssl/',
>men jeg kan ikke faa netscape til at fatte certifikatet. Den genererer
>en certifikat-request i /tmp, og naar jeg manuelt koerer
>'/opt/ole/bin/openssl ca -config /opt/ole/ssl/openssl.cnf -spkac
>/tmp/cert16.req -out /tmp/cert16.result -days 360' (som mit cgi-script
>returnerer oeverst paa den side, der siger at det ikke lykkedes), gaar
>det fint - bortset fra at jeg ikke kan importere dette certifikat
>(cert16.result) i netscape. Korrupt eller ugyldig fil, siger den...

Har du fulgt den komplette version med request via en webside med
keygen tag? og har du sikret dig at alle paths o.lign. er rigtige i
din openssl.cnf? Check iøvrigt
http://www.pca.dfn.de/dfnpca/certify/ssl/handbuch/ossl092/ (på tysk)
der giver en lidt mere omfattende forklaring.


vh

Mads Toftum, QDPH
som på USENET repræsenterer sig selv og ingen andre.

---

Mads Toftum <mt@dev.null> writes:

> On 26 Mar 2001 18:03:18 +0200, Ole Michaelsen <omic+usenet1@fys.ku.dk>
> wrote:
>
> >Er der nogen, der har faaet ovenstaaende til at virke?
>
> Ja.

Det glæder mig. Så er det ikke helt umuligt.


> > Jeg forsoeger
> >mig med fremgangsmaaden beskrevet paa 'http://www.pseudonym.org/ssl/',
> >men jeg kan ikke faa netscape til at fatte certifikatet. Den genererer
> >en certifikat-request i /tmp, og naar jeg manuelt koerer

> Har du fulgt den komplette version med request via en webside med
> keygen tag? og har du sikret dig at alle paths o.lign. er rigtige i

Ja, jeg kunne dog ikke bruge de eksempler, der gives i 'kogebogen'
100%, bl.a. skriver jeg i /tmp/ i stedet.

> din openssl.cnf? Check iøvrigt
> http://www.pca.dfn.de/dfnpca/certify/ssl/handbuch/ossl092/ (på tysk)
> der giver en lidt mere omfattende forklaring.

Den vil jeg kigge på med det samme. Tak for henvisningen.

Venlig hilsen,

-- O l e.

---

Mads Toftum <mt@dev.null> writes:

> Har du fulgt den komplette version med request via en webside med
> keygen tag? og har du sikret dig at alle paths o.lign. er rigtige i
> din openssl.cnf? Check iøvrigt
> http://www.pca.dfn.de/dfnpca/certify/ssl/handbuch/ossl092/ (på tysk)
> der giver en lidt mere omfattende forklaring.

Okay, den tyske udgave var maaske en lidt for stor mundfuld. Status er
nu foelgende:

Jeg udfylder min fillout-form, og faar foelgende fejl:

Certificate request failed

command missing

commonName
machinename.domainname
emailAddress
olmic@domainname
organizationName
My organization
organizationalUnitName
Computer Department
localityName
Copenhagen
stateOrProvinceName
Denmark
countryName
DK
SPKAC
MIIBSzCBtTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA32iUzZt5ydmAEHEF
QKG3o+XAHdrJ0PD+qagl98GTFef5qxonMm377wxfaXLnOSHMJXwmerf6QtkJARId
LWAvhC/YvWVo+1E33qOh+eDpgifhwkrZHLm7fSF7bGdKY8a9PM5yZwD1UY1NiJGf
AWosv7/aSM9cB0NpXn4lIVMlusMCAwEAARYRY2hhbGxlbmdlUGFzc3dvcmQwDQYJ
KoZIhvMaehsagdedetlillelam9lr+nSnFVSydQqF1W4YKpAnAIAkwEoTCL7gdP1
fCtSLTkj3agsdpMpDLnES/XjYntfaly+sfTYBVybZ98u8mVwDf2cQSmRzepYlCDr
4rH9dLaPIEPr9N1p7hGgvzJbmQtJ7YlblzIH16L4LvVbZzgqtlyYpYv0fOwHuGA=
SUBMIT
Submit Query


I /tmp oprettes ganske rigtigt certificate requests, fx /tmp/cert3.req
indeholdende ovenstaaende info.

I .../cgi-bin/ns_key.pl har jeg linjen

unless(-e $CA) { fail("command missing"); } # ensure that ca command
will run

hvilket maa vaere hvor traaden knaekker. Koerer jeg $CA manuelt:

my $SSLDIR = '/opt/ole'; # define where SSLeay files are located
my $CA = "$SSLDIR/bin/openssl ca";
my $CONFIG = "/opt/ole/ssl/openssl.cnf";

[olmic@braun]:/usr/local/apache/cgi-bin > /opt/ole/bin/openssl ca
Using configuration from /opt/ole/ssl/openssl.cnf
Enter PEM pass phrase:

Hvorefter jeg kan indtaste loesenet. Jeg har proevet at udkommentere
denne linje i ns_key.pl, hvorefter jeg faar foelgende fra netscape:

Certificate request failed

/opt/ole/bin/openssl ca -config /opt/ole/ssl/openssl.cnf -spkac /tmp/cert5.req -out /tmp/cert5.result -days 360

rc = 256

.... og det samme som foer (certificate request).

ns_key.pl har linjen:

if($rc != 0) { fail("$cmd<P>rc = $rc", "errs"); }

og den skriver: rc = 256

.... ???

Jeg kan koere ovenstaaende kommando manuelt:

sudo /opt/ole/bin/openssl ca -config /opt/ole/ssl/openssl.cnf -spkac /tmp/cert9.req -out /tmp/cert9.result -days 360
Using configuration from /opt/ole/ssl/openssl.cnf
Enter PEM pass phrase:
Check that the SPKAC request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
commonName :PRINTABLE:'machinename.domainname'
emailAddress :IA5STRING:'olmic@domainname'
organizationName :PRINTABLE:'My Organization'
organizationalUnitName:PRINTABLE:'My department'
localityName :PRINTABLE:'Copenhagen'
stateOrProvinceName :PRINTABLE:'Denmark'
countryName :PRINTABLE:'DK'
Certificate is to be certified until Mar 24 09:56:40 2002 GMT (360 days)

Write out database with 1 new entries
Data Base Updated
[olmic@braun]:/opt/ole/ssl >

Dette laver /tmp/cert9.result (binaert snask) og
/opt/ole/ssl/newcerts/03.pem, men jeg kan ikke importere nogen af
disse to i Netscape -> Security -> Certificates -> Yours -> import a
certificate. Faar blot at vide "Unable to import certificates. The
file specified is either corrupt or is not a valid file".

Forslag til hvordan jeg kommer videre modtages med glaede

Venlig hilsen,

-- O l e.