{"id":860,"date":"2020-11-21T03:02:41","date_gmt":"2020-11-21T02:02:41","guid":{"rendered":"http:\/\/www.instruyete.org\/?p=860"},"modified":"2020-11-21T14:11:20","modified_gmt":"2020-11-21T13:11:20","slug":"verlaengerung-eines-ca-zertifikats","status":"publish","type":"post","link":"https:\/\/www.instruyete.org\/?p=860","title":{"rendered":"Verl\u00e4ngerung eines CA Zertifikats"},"content":{"rendered":"\n

Das Auslaufen meines self-signed CA Zertifikates konfrontierte mich mal wieder mit dem openssl CLI und seinen T\u00fccken.<\/p>\n\n\n\n

Ausgehend von einer theoretischen Betrachtung sind nur wenige Schritte notwendig um ein CA Zertifikat zu verl\u00e4ngern, was eigentlich bedeutet es in einer erneuerten Version herauszugeben.<\/p>\n\n\n\n

  1. Unter Ber\u00fccksichtigung des private keys der CA erstellt man ein Certificate Request.<\/li>
  2. Dies wird mit dem private key der CA signiert und erstellt somit ein neues CA Zertifikat.<\/li>
  3. Dann \u00fcberpr\u00fcft man ob schon vormals ausgestellte Server-Zertifikate vom neuen CA Zertifikat akzeptiert werden.<\/li>
  4. Das neue CA Zertifikat wird auf die Zielplattformen geladen.<\/li><\/ol>\n\n\n\n\n\n\n\n

    Diese Punkte konnten auch ohne Schwierigkeiten mit folgender Kommandosequenz abgearbeitet werden.<\/p>\n\n\n\n

    openssl req -new -key <privateKey.pem> -out <certRequest.csr><\/code><\/pre>\n\n\n\n
    openssl x509 -req -in <certRequest.csr> -signkey <privateKey.pem> -out <caCert.pem><\/code><\/pre>\n\n\n\n
    openssl verify -CAfile <caCert.pem> -verbose <oldServerCert.pem><\/code><\/pre>\n\n\n\n
    Das letzte Kommando lieferte wie erwartet ein OK. Die \u00dcberraschung kam, als das neue Zertifikat auf einem Android System nicht akzeptiert wurde. Die Fehlermeldung lautete:<\/p>\n\n\n\n
    Privater Schl\u00fcssel zum Installieren des Zertifikats erforderlich.<\/pre>\n\n\n\n
    Irref\u00fchrend – was Android einem eigentlich sagen wollte, dass es dieses Zertifikat nicht akzeptiert, da es nicht dem x509v3<\/strong> Standard entspricht und somit keine x509v3 Extension<\/strong> bzgl. Basic Constraints<\/em> besitzt, siehe auch Installing the root CA on Android<\/a>. Dieses Attribut klassifiziert seit x509v3 Zertifikate welche selber signieren k\u00f6nnen und somit ein Teil der PKI<\/em> oder Trust of Chain<\/em> sind.<\/p>\n\n\n\n
    Dies ist der einzige Grund. Legacy requirements wie das Vorliegen des Zertifikats im bin\u00e4ren DER<\/em> Format und gar Line Endings im CRLF<\/em> Style spielen zumindest heute keine Rolle mehr. Pikanterweise wird das Zertifikat auf dem Linux Desktop auf Chrome<\/em> Version 86 akzeptiert, obwohl – nach einer \u00dcberpr\u00fcfung mit dem Kommando<\/p>\n\n\n\n
    openssl x509 -in <caCert.pem> -text -noout<\/code><\/pre>\n\n\n\n
    tats\u00e4chlich feststeht, dass das mit den obigen Kommando erstellte CA Zertifikat auf dem x509v1 Standard basiert, ganz im Gegensatz zum bisherigen CA Zertifikat, welches sehr wohl den x509v3 Standard hat.<\/p>\n\n\n\n
    Dies wurde allerdings seinerzeit mit einem einzigen Kommando erzeugt, das gleichzeitig einen neuen private Key erzeugte.<\/p>\n\n\n\n
    openssl req -x509 -newkey rsa -out <caCert.pem> -outform PEM<\/code><\/pre>\n\n\n\n
    Und genau hier wird das Problem sichtbarer. Die Konfigurationsdatei openssl.cnf<\/strong> legte folgendes fest (nur auszugsweise aufgef\u00fchrt):<\/p>\n\n\n\n
    # OpenSSL example configuration file.\n# This is mostly being used for generation of certificate requests.\n#\n\n...\n\n# To use this configuration file with the \"-extfile\" option of the\n# \"openssl x509\" utility, name here the section containing the\n# X.509v3 extensions to use:\n# extensions            =\n# (Alternatively, use a configuration file that has only\n# X.509v3 extensions in its main [= default] section.)\n\n...\n\n[ req ]\n default_bits            = 2048\n ...\n attributes              = req_attributes\n x509_extensions = v3_ca # The extentions to add to the self signed cert\n ...\n\n[ v3_ca ]\n # Extensions for a typical CA\n # PKIX recommendation.\n subjectKeyIdentifier=hash\n authorityKeyIdentifier=keyid:always,issuer\n # This is what PKIX recommends but some broken software chokes on\n # critical extensions.\n # basicConstraints = critical,CA:true\n # So we do this instead.\n basicConstraints = CA:true\n\n...<\/pre>\n\n\n\n
    Die extension v3_ca<\/strong> wurde nur in der Sektion [req]<\/strong> angesprochen und ist somit nur f\u00fcr Kommandos der Form:<\/p>\n\n\n\n
    openssl req ...<\/code><\/pre>\n\n\n\n
    g\u00fcltig. Das neue CA Zertifikat wurde aber, wie oben gezeigt durch ein<\/p>\n\n\n\n
    openssl x509 ...<\/code><\/pre>\n\n\n\n
    Kommando erzeugt, das wie im einleitenden Kommentar in der Konfigurationsdatei angedeutet, prinzipiell die extensions nicht direkt verarbeitet, das bedeutet dass auch eine erweitertes Kommando:<\/p>\n\n\n\n
    openssl x509 -req -extensions v3_ca -in <certRequest.csr> -signkey <privateKey.pem> -out <caCert.pem><\/code><\/pre>\n\n\n\n
    leider nicht zu einem x509v3 Zertifikat f\u00fchrt. 
    Erfolg brachte letztendlich nur die Auslagerung der [ v3_ca ]<\/strong> Extension in ein separates File und die Ausf\u00fchrung dieses Kommandos:<\/p>\n\n\n\n
    openssl x509 -req -extensions v3_ca -extfile ssl-extensions-x509.cnf -in <certRequest.csr> -signkey <privateKey.pem> -out <caCert.pem><\/code><\/pre>\n\n\n\n
    wobei der Inhalt von extfile<\/strong> exakt der obige [ v3_ca ]<\/strong> Block innerhalb der openssl.cnf<\/strong> ist.<\/p>\n\n\n\n
    Eine Diskussion dar\u00fcber wurde auf stackexchange<\/em> im Thread Missing X509 extensions with an openssl-generated certificate<\/a> gef\u00fchrt.<\/p>\n","protected":false},"excerpt":{"rendered":"
    Das Auslaufen meines self-signed CA Zertifikates konfrontierte mich mal wieder mit dem openssl CLI und seinen T\u00fccken. Ausgehend von einer theoretischen Betrachtung sind nur wenige Schritte notwendig um ein CA Zertifikat zu verl\u00e4ngern, was eigentlich bedeutet es in einer erneuerten Version herauszugeben. Unter Ber\u00fccksichtigung des private keys der CA erstellt man ein Certificate Request. Dies … Verl\u00e4ngerung eines CA Zertifikats<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,9,7],"tags":[47,24,46],"class_list":["post-860","post","type-post","status-publish","format-standard","hentry","category-android","category-linux","category-unix","tag-ca","tag-openssl","tag-pki"],"_links":{"self":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts\/860","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=860"}],"version-history":[{"count":8,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts\/860\/revisions"}],"predecessor-version":[{"id":868,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=\/wp\/v2\/posts\/860\/revisions\/868"}],"wp:attachment":[{"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=860"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=860"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.instruyete.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=860"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}