Verstaendnisproblem: Erklaerung im Handbuch zum Anlegen einer CA (OpenSSL)

fader · 19.12.2004, 10:45

Tach,

ich habe hier gerade ein kleines Verstaendnisproblem im FreeBSD Handbuch. Ich beziehe mich hierbei auf
http://www.freebsd.org/doc/en_US.ISO...k/openssl.html
(Stand 20041219)

und da den Punkt 14.9.1 Generating Certificates.

Der Autor generiert dabei das CA Zertifikate in 3 Schritten:

Code:

In cases where a signature from a CA is not required, a self signed certificate can 
be created. First, generate the RSA key:

# openssl dsaparam -rand -genkey -out
myRSA.key 1024

Next, generate the CA key:

# openssl gendsa -des3 -out \
myca.key myRSA.key

Use this key to create the certificate:

# openssl req -new -x509 -days 365 -key \
myca.key -out new.crt

So, und gleich mit dem ersten Schritt habe ich ein Verstaendnisproblem. Meiner Ansicht nach erzeugt er da keinen RSA Key (er erklaert auch nicht wo der herkommt, was der macht etc. Weiter unten verschwindet er auch wieder - da schreibt er nur noch von zwei neuen Files), sondern eine DSA Parameterdatei, welche dann im 2. Schritt fuer die Erstellung eines DSA Keys zum Einsatz kommt (Parameter 'paramfile' in gendsa(1)). Die Option zum Erzeugen eines RSA Schluessels waere meines Erachtens nach vielmehr genrsa. Mit RSA Schluessel hat das nichts zu tun, was der da macht, oder?

Wenn ich also, als Alternative zur CA mit DSA Schluessel wie vom Autor beschrieben, eine CA mit RSA Schluessel aufsetzen woellte, dann wuerde ich folgende Schritte ausfuehren (ich benutze zur Gegenueberstellung mal die englischen Kommentare von oben):

Code:


--------------
Anmerkung: 1. Schritt faellt weg, da fuer RSA Key nicht einschlaegig
--------------
Generate the CA key:

# openssl genrsa -des3 -out myca.key 2048

Use this key to create the certificate:

# openssl req -new -x509 -days 365 -key \
myca.key -out new.crt

Damit haette ich dann eine CA mit einem RSA Schluessel? Ist demnach das Handbuch falsch, d.h. hat der Autor hier irgendwo nicht verstanden was der erste Schritt tut oder erklaert ers nur falsch oder ... ? Verstehe ich irgendetwas nicht richtig? Kann irgendwer Licht ins Dunkel bringen?

19.12.2004, 10:45	#1
fader Klaatu Verrata Nectu Registrierungsdatum: Aug 2004 Beiträge: 364	Verstaendnisproblem: Erklaerung im Handbuch zum Anlegen einer CA (OpenSSL) Tach, ich habe hier gerade ein kleines Verstaendnisproblem im FreeBSD Handbuch. Ich beziehe mich hierbei auf http://www.freebsd.org/doc/en_US.ISO...k/openssl.html (Stand 20041219) und da den Punkt 14.9.1 Generating Certificates. Der Autor generiert dabei das CA Zertifikate in 3 Schritten: Code: In cases where a signature from a CA is not required, a self signed certificate can be created. First, generate the RSA key: # openssl dsaparam -rand -genkey -out myRSA.key 1024 Next, generate the CA key: # openssl gendsa -des3 -out \ myca.key myRSA.key Use this key to create the certificate: # openssl req -new -x509 -days 365 -key \ myca.key -out new.crt So, und gleich mit dem ersten Schritt habe ich ein Verstaendnisproblem. Meiner Ansicht nach erzeugt er da keinen RSA Key (er erklaert auch nicht wo der herkommt, was der macht etc. Weiter unten verschwindet er auch wieder - da schreibt er nur noch von zwei neuen Files), sondern eine DSA Parameterdatei, welche dann im 2. Schritt fuer die Erstellung eines DSA Keys zum Einsatz kommt (Parameter 'paramfile' in gendsa(1)). Die Option zum Erzeugen eines RSA Schluessels waere meines Erachtens nach vielmehr genrsa. Mit RSA Schluessel hat das nichts zu tun, was der da macht, oder? Wenn ich also, als Alternative zur CA mit DSA Schluessel wie vom Autor beschrieben, eine CA mit RSA Schluessel aufsetzen woellte, dann wuerde ich folgende Schritte ausfuehren (ich benutze zur Gegenueberstellung mal die englischen Kommentare von oben): Code: -------------- Anmerkung: 1. Schritt faellt weg, da fuer RSA Key nicht einschlaegig -------------- Generate the CA key: # openssl genrsa -des3 -out myca.key 2048 Use this key to create the certificate: # openssl req -new -x509 -days 365 -key \ myca.key -out new.crt Damit haette ich dann eine CA mit einem RSA Schluessel? Ist demnach das Handbuch falsch, d.h. hat der Autor hier irgendwo nicht verstanden was der erste Schritt tut oder erklaert ers nur falsch oder ... ? Verstehe ich irgendetwas nicht richtig? Kann irgendwer Licht ins Dunkel bringen?

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken
Ansicht	Thema bewerten
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln	Thema bewerten:

Ähnliche Themen
Thema	Erstellt von	Forum	Antworten	Letzter Beitrag
FreeBSD Samba PDC Howto	Highfish	Howtos	103	25.09.2006 21:14
Die Geschichte von BSD (bzw. UNIX)	asg	News	31	11.05.2006 20:20
ASN.1-Sequenzen koennen OpenSSL in NetBSD zum Absturz bringen	ExarKun	News	0	20.02.2004 12:33

Dieses Thema betrachten zurzeit 1 Personen. (0 registrierte Benutzer und 1 Gäste)