Re: [FUG-BR] OT: Criação de CA
Ola, Olha, uma boa referencia ai no Brasil é o grupo de pesquisa da RNP chamado ICP-EDU. Eles desenvolvem e testam varias soluções em PKI. Sou suspeito pra falar porque fiz meu mestrado no assunto, junto com uma parte do grupo da UFSC. Se voce tiver duvidas sobre alguma coisa, o pessoal é bem acessivel, e eles se animam em procurar coisas novas... Eu sei que no site http://www.icpedu.labsec.ufsc.br e no site http://icpedu-trac.labsec.ufsc.br/ tem avaliacoes de software livres de PKI, documentação de desenvolvimento da biblioteca do OpenSSL, assim como informação no assunto em geral. -- Jean Martina Computer Lab University of Cambridge mas acho que vc esta procurando algo mais centralizado (openvpn, apache, ...) da vc deve procurar por PKI http://www.cs.odu.edu/~cs472/fall03/lectures/PKI_Certificates.html http://www.gagravarr.org/writing/openssl-certs/ Se alguem tiver mais sobre PKI complemente que estou procurando tb :) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT: Criação de CA
Segue a receita de bolo que eu montei pra uso próprio e que funciona pra mim. Configurando SSL no Apache 2.x - Criação da chave: * opessl genrsa -des3 -out www.dominio.com.key 1024 O sistema irá pedir 2 vezes uma senha. - Criação do request do certificado: * openssl req -new -key www.dominio.com.key -out www.dominio.com.csr O sistema irá pedir a mesma senha, e então irá efetuar perguntas a respeito do criador da chave. IMPORTANTE: Common name (ex. Your name) deve ser respondido com o domínio que está sendo criado. Ex.: www.dominio.com - Criação do certificado: * openssl x509 -req -days duração_em_dias -in www.dominio.com.csr - signkey www.dominio.com.key -out www.dominio.com.crt - Trocar as linhas do ssl.conf: SSLPassPhraseDialog exec:/path_to_sslpass.sh SSLCertificateFile path_to_*.crt SSLCertificateKeyFile path_to_*.key - Os hosts virtuais são criados da mesma maneira que no httpd.conf. - Só é possível uma chave para cada IP. - Conteúdo do arquivo sslpass.sh #!/bin/sh echo senha # Esta é a mesma senha solicitada pelo ssl na criação das chaves. Espero ter ajudado. -- Rafael Mentz Aquino BSDServer Ltda. 51 - 9847 8825 51 - 9725 4311 -- Original Message --- From: Pedro Henrique Morsch Mazzoni [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Freebsd@fug.com.br Sent: Mon, 23 Oct 2006 15:52:13 -0200 Subject: [FUG-BR] OT: Criação de CA Senhores, Estou tentando criar uma CA com o openssl e não estou conseguindo. Os scripts de criação de /usr/local/openssl/misc não funcionam (openssl-0.9.8a) Não achei nenhuma referência confiável no google. Alguma luz? Grato, Pedro Mazzoni - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd --- End of Original Message --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT: Criação de CA
On 10/23/06, Pedro Henrique Morsch Mazzoni [EMAIL PROTECTED] wrote: Senhores, Estou tentando criar uma CA com o openssl e não estou conseguindo. Os scripts de criação de /usr/local/openssl/misc não funcionam (openssl-0.9.8a) Não achei nenhuma referência confiável no google. Alguma luz? Grato, Pedro Mazzoni - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Ja tentou o security/tinyca senao me engano serve para X e linha de comando ?? + infos http://tinyca.sm-zone.net/ mas acho que vc esta procurando algo mais centralizado (openvpn, apache, ...) da vc deve procurar por PKI http://www.cs.odu.edu/~cs472/fall03/lectures/PKI_Certificates.html http://www.gagravarr.org/writing/openssl-certs/ Se alguem tiver mais sobre PKI complemente que estou procurando tb :) Att -- - Gustavo FukaoEngenharia da Computacao CEL: 14 9163 5798 FreeBSD user: 51175 ICQ: 51266435 MSN: gustavofukao [at] hotmail [dot] com - - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT: Criação de CA
Pedro, Eu obtive os mesmos erros que vc utilizando a versao openssl-0.9.8d, entaum retirei esta versao do servidor e instalei a antiga (stable: openssl-0.9.71)... E ae tudo funcionou como deveria (no caso dos scripts CA.pl localizado no diretorio /usr/local/openssl/misc). blz? Espero ter ajudado... Abraços, Pedro Henrique Morsch Mazzoni wrote: Senhores, Estou tentando criar uma CA com o openssl e não estou conseguindo. Os scripts de criação de /usr/local/openssl/misc não funcionam (openssl-0.9.8a) Não achei nenhuma referência confiável no google. Alguma luz? Grato, Pedro Mazzoni - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT: Criação de CA
Eis um script que eu criei pra facilitar as coisas. Sempre funcionou comigo. $ mkcert.sh meu_cert mkcert.sh -- #!/bin/sh cd $1 openssl req -new -out $1$2.csr openssl rsa -in privkey.pem -out $1$2.key openssl x509 -in $1$2.csr -out $1$2.crt -req -signkey $1$2.key -days 1000 openssl x509 -in $1$2.cert -out $1$2.der.crt -outform DER # rm $1*.pem -- Mario Lobo http://www.mallavoodoo.com.br 99% rwindows FREE (FBSD not for Pro-Audio YET!!!) On Tuesday 24 October 2006 11:03, Flavio Alexsandro Silva wrote: Pedro, Eu obtive os mesmos erros que vc utilizando a versao openssl-0.9.8d, entaum retirei esta versao do servidor e instalei a antiga (stable: openssl-0.9.71)... E ae tudo funcionou como deveria (no caso dos scripts CA.pl localizado no diretorio /usr/local/openssl/misc). blz? Espero ter ajudado... Abraços, Pedro Henrique Morsch Mazzoni wrote: Senhores, Estou tentando criar uma CA com o openssl e não estou conseguindo. Os scripts de criação de /usr/local/openssl/misc não funcionam (openssl-0.9.8a) Não achei nenhuma referência confiável no google. Alguma luz? Grato, Pedro Mazzoni - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Flávio Alexsandro Silva Unix is user friendly. It's just selective about who its friends are. Linux is for people who hate Windows. BSD is for people who love UNIX. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] OT: Criação de CA
Senhores, Estou tentando criar uma CA com o openssl e não estou conseguindo. Os scripts de criação de /usr/local/openssl/misc não funcionam (openssl-0.9.8a) Não achei nenhuma referência confiável no google. Alguma luz? Grato, Pedro Mazzoni - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT: Criação de CA
Pedro, aí vai: http://www.skippy.net/trac/wiki/OpenVPN_Certificate_HOWTO Abs e boa sorte, Felipe Neuwald. Pedro Henrique Morsch Mazzoni escreveu: Senhores, Estou tentando criar uma CA com o openssl e não estou conseguindo. Os scripts de criação de /usr/local/openssl/misc não funcionam (openssl-0.9.8a) Não achei nenhuma referência confiável no google. Alguma luz? Grato, Pedro Mazzoni - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT: Criação de CA
soh uma coisa, jah tentou: cd /usr/ports/www/mod_ssl/ make certificate Em 23/10/06, Felipe Neuwald[EMAIL PROTECTED] escreveu: Pedro, aí vai: http://www.skippy.net/trac/wiki/OpenVPN_Certificate_HOWTO Abs e boa sorte, Felipe Neuwald. Pedro Henrique Morsch Mazzoni escreveu: Senhores, Estou tentando criar uma CA com o openssl e não estou conseguindo. Os scripts de criação de /usr/local/openssl/misc não funcionam (openssl-0.9.8a) Não achei nenhuma referência confiável no google. Alguma luz? Grato, Pedro Mazzoni - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Atenciosmente Mario Augusto Mania m3BSD --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT: Criação de CA
Obrigado Felipe, mas não resolveu. O problema é que esse howto, assim como a maioria, utiliza o script CA.pl, que está com problemas na atual versão stable do openssl. quando o script executa: #openssl ca ... -selfsign é retornada a msg: unknown option -selfsign Porém, essa opção existe e pode ser encotrada no man ca. Muito estranho. Grato mais uma vez, Pedro Mazzoni Em 23/10/06, Felipe Neuwald[EMAIL PROTECTED] escreveu: Pedro, aí vai: http://www.skippy.net/trac/wiki/OpenVPN_Certificate_HOWTO Abs e boa sorte, Felipe Neuwald. Pedro Henrique Morsch Mazzoni escreveu: Senhores, Estou tentando criar uma CA com o openssl e não estou conseguindo. Os scripts de criação de /usr/local/openssl/misc não funcionam (openssl-0.9.8a) Não achei nenhuma referência confiável no google. Alguma luz? Grato, Pedro Mazzoni - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OT: Criação de CA
On Mon, Oct 23, 2006 at 04:07:18PM -0200, Pedro Henrique Morsch Mazzoni wrote: Obrigado Felipe, mas não resolveu. O problema é que esse howto, assim como a maioria, utiliza o script CA.pl, que está com problemas na atual versão stable do openssl. quando o script executa: #openssl ca ... -selfsign é retornada a msg: unknown option -selfsign Porém, essa opção existe e pode ser encotrada no man ca. Muito estranho. Grato mais uma vez, Pedro Mazzoni Veja a página: http://www.eclectica.ca/howto/ssl-cert-howto.php -- Ricardo Campos Passanezi - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
