[Resolu] phpki probleme de creation des certificats

[lpinux]

Bonjour à tous,

j'essaie la mise en oeuvre de openVPN comme indiqué sur ces pages : http://wiki.contribs.org/OpenVPN_Bridge/fr mais je bloque actuellement sur la création des certificats avec phpki installé sur SME 7.5.1 (test effectue en mode serveur, en mode passerelle + serveur à partir du réseau local).

La création du certificat racine semble bien se dérouler, mais la création d'un certificat du serveur (en suivant les indications du site) abouti sur l'erreur :
Debug Info:

Creating certifcate request.
Generating a 1024 bit RSA private key
.....++++++
.................................++++++
writing new private key to '/opt/phpki/phpki-store/CA/private/100001-key.pem'
-----
problems making Certificate Request
8656:error:0D07A098:asn1 encoding routines:ASN1_mbstring_copy:string too short:a_mbstr.c:147:minsize=2

Où est rangé le certificat racine ? Impossible de la retrouver dans le dossier /opt/phpki/

D'où peut provenir cette erreur ? (Un problème de droits sur le dossier ...)

Merci pour toute information me permettant d'avancer sur ce problème.

Cordialement

Pascal

[ccnet]

Avez vous renseigné tous les champs obligatoires (en particulier, le pays et l'organisation) lors de la création du ca, puis du serveur ?

[lpinux]

Merci pour cette première piste,

en effet j'ai bien renseigné tous les champs obligatoires, lors de la création du certificat racine.

Je devrais pouvoir le retrouver dans le dossier /opt/phpki/ mais je n'en retrouve aucune trace....

A bientôt

Pascal

[jdh]

L'emplacement est pourtant indiqué ainsi qu'une erreur :

Code: Tout sélectionner

writing new private key to '/opt/phpki/phpki-store/CA/private/100001-key.pem'
-----
problems making Certificate Request
8656:error:0D07A098:asn1 encoding routines:ASN1_mbstring_copy:string too short:a_mbstr.c:147:minsize=2

Il est possible que l'erreur indiquée fasse que le certificat ne soit pas généré ...

[lpinux]

Oui merci mais là est le problème,

pour faire des essais et diagnostiquer, j'ai placé le dossier /opt/phpki/ et ses sous dossiers avec toutes les permissions (Ecriture, exécution) sans succés.

donc je ne comprends pas pourquoi du réseau local, la création du certificat n'aboutisse pas....

Je dois commetre une erreur quelque part, mais laquelle ?

Comment regénérer le certificat racine ?

Pascal

[Franck78]

Hello,
Si l'on s'en tient au message, un champ n'est pas correctement rempli.

L'outil de base pour générer manipuler et tout ce qu'on veut est 'openssl'
Trouver le dossier contenant les certs ne devrait pas être insurmontable

Exemple de CARoot

Code: Tout sélectionner

ntkiller2:/etc/ssl # openssl x509 -in cacert.pem -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            c9:79:3c:4c:9a:c8:45:af
        Signature Algorithm: md5WithRSAEncryption
        Issuer: C=FR, ST=France, O=MOI, CN=FAMILLES ROOT CA/emailAddress=fbourdo...cez.com
        Validity
            Not Before: Mar 23 22:38:02 2006 GMT
            Not After : Mar 20 22:38:02 2016 GMT
        Subject: C=FR, ST=France, O=MOI, CN=FAMILLES ROOT CA/emailAddress=fbourdon...z.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:af:a4:dd:b8:c3:8e:fc:0d:bb:0f:79:61:8d:19:
                    23:95:ef:bd:0b:63:b9:8c:1a:40:20:a0:1e:87:4b:
                    94:89:b7:ed:06:6d:38:54:9d:75:55:20:5c:ee:6d:
...
                    d0:ba:78:41:27:a5:68:f5:9c:bf:ef:84:da:65:2c:
                    f6:46:97:4e:95:da:bf:64:2c:50:35:1e:38:b1:a6:
                    62:9e:6b:cd:cf:2b:eb:a9:81:8b:db:55:88:df:2b:
                    98:4b
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier:
                56:D4:74:0F:CC:89:73:35:3A:3D:02:39:72:B5:61:30:86:2F:18:33
            X509v3 Authority Key Identifier:
                keyid:56:D4:74:0F:CC:89:73:35:3A:3D:02:39:72:B5:61:30:86:2F:18:33
                DirName:/C=FR/ST=France/O=MOI/CN=FAMILLES ROOT CA/emailAddress=fbour...z.com
                serial:C9:79:3C:4C:9A:C8:45:AF

            X509v3 Basic Constraints:
==>           CA:TRUE
            Netscape Cert Type:
                SSL CA, S/MIME CA
    Signature Algorithm: md5WithRSAEncryption
        a9:a4:a2:5a:d0:56:9d:54:78:91:62:76:58:e6:e1:43:c3:bc:
        d9:93:42:cb:4f:cf:21:06:bd:d1:8e:89:21:f5:29:51:4a:ca:
....

[jdh]

AMHA l'erreur est sur un champ qui n'a pas une longueur suffisante !! (Par exemple le département doit être écrit en toute lettre et non XX le n° = longueur 2)



NB : J'ai essayé phpki et j'ai été lassé des mots de passe de protection du certificat. Or phpki impose un mot de passe. J'ai donc modifié une ligne (quelque part) pour éviter cela. Dans le cas, comme c'est une contrib, cela n'est pas évident.

[lpinux]

Merci à tous pour ces remarques qui m'ont permis la résolution de ce problème.

En effet, c'est en fixant le champ "Country" à FR (en deux lettres) que la création du certificat racine a été acceptée, et que j'ai pu créer d'autres certificats.

Au préalable j'ai déinstallé phpki comme indiqué sur contribs.org :

yum remove smeserver-phpki phpki
expand-template /etc/httpd/conf/httpd.conf
sv t /service/httpd-e-smith

Pascal