Update: openSSL 1.0 TSA Özelliği – 5651’a Uygun Log İmzalamak
(Toplam 2 oy. 5 puan üzerinden ortalama 5,00 || Oy vererek siz de katkıda bulunabilirsiniz.)
Loading...
Daha önce openssl'in TSA özelliği ile 5651 no'lu kanuna uygun olarak log imzalama işlemlerinin nasıl yapılabileceği ile ilgili bir yazı yazmış ve bu yöntemi kullanarak otomatik imzalama yapan bir de shell script yayınlamıştım.
İlgili yazıları yayınladığım dönemdeki openssl (9.8.x) sürümleri TSA özelliğini öntanımlı olarak desteklemiyordu ve bu özelliği kazandırmak için openssl'e patch geçmek gerekiyordu. Sonradan openSSL 1.0.x ile birlikte bu özellik built-in olarak gelmeye başladı. Dolayısı ile 1.0.x openSSL sürümleri için patch geçme işlemine gerek kalmadı.
Ancak ilgili yazıda anlatıldığı şekilde imzalama yapabilmek için 9.8.x sürümlerinden farklı olarak 1.0.x sürümüne ait conf dosyasında küçük bir değişiklik yapılması gerekiyor. Aksi halde signer key'in geçersiz olduğunu söyleyen aşağıdaki şekilde bir hata ile karşılaşılıyor
"time stamp routines:TS_RESP_CTX_set_signer_cert: invalid signer certificate purpose: ts_rsp_sign.c:206"
Bu problemin yaşanmaması için Time Stamping Authority Yapılandırması işleminden önce /usr/local/ssl/openssl.cnf dosyası içerisinde aşağıdaki iki değişikliğin yapılması gerekiyor:
1 -) 215. satırında bulunan
# extendedKeyUsage = critical,timeStamping
ibaresinin başındaki # işareti kaldırılarak uncomment out edilmeli:
2 -) 222. satırda bulunan
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
satırından da “, keyEncipherment” ibaresinin kaldırılmalı.
Sonuç olarak conf dosyasının ilgili bölümlerinin aşağıdaki gibi görünmesi gerekiyor.
# This is required for TSA certificates. extendedKeyUsage = critical,timeStamping [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature
Bu şekilde, sisteminizde openSSL 1.0.x sürümü mevcut ise yukarıdaki değişiklikleri yaptıktan sonra http://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/ adresindeki yazının “OpenSSL ve Time Stamping Authority Yapılandırması” isimli başlığından başlayarak yapılandırma işlemlerini tamamlayabilir ve log imzalama işlemi yapabilirsiniz.
Bu yazılar da ilginizi çekebilir:
- openSSL ve TSA ile Otomatik Log Imzalayıcı (Shell) Script
- OpenSSL ile 5651 Sayılı Kanun Gereği Log Imzalamak
- CentOS x86_64 Sistemlerden i386 Paketlerin Kaldırılması
- Advanced Copy – CP Komutu ve Progress Bar
- MySQL Server Time Zone Değişikliği
Yorumlar
Trackbacks
Yorumda bulunun.
Bu sorun bendede vardı. Dedğiniz iki ad değişkliği yaptım. Fakat aynı hata mesajı devam ediyor.
Ne yapılabilir.Teşekkürler
[Cevapla]
değişiklikleri yaptıktan sonra http://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/ adresindeki yazının “OpenSSL ve Time Stamping Authority Yapılandırması” isimli başlığından başlayarak yapılandırma işlemlerini tamamlayabilir ve log imzalama işlemi yapabilirsiniz.
[Cevapla]
Birşey dikkatimi çekti.Burda anlatıklarınızı ben openssl-1.0.1e.tar.gz üzeride yapınca sorun devam ediyor. Centos üzerinde openssl-1.0.0.tar.gz sorunsuz tamamladı
Teşekkürler.
[Cevapla]
Merhaba;
Ben Endian Firewall 3.0 Üzerinde Bu işlemi Nasıl Yaparım Üstadım ?
[Cevapla]
Merhaba,
Endian kullanmadığım için doğrudan bir şey söyleyemeyeceğim ancak eğer Endian üzerinde OpenSSL 1.x serisi var ise (ki vardır illa ki) o durumda yazıda anlatıldığı şekilde yapabilirsiniz.
[Cevapla]
Merhaba Çağrı Bey,
Bendeki conf dosyasında,
extendedKeyUsage=serverAuth
görünüyor ve önünde # yok. Sizin belirttiğiniz gibi düzeltsem sıkıntı olur mu acaba?…
PfSense 2.1.5 kullanıyorum ve SSL versiyonum:
$ /usr/local/bin/openssl version
OpenSSL 1.0.1i 6 Aug 2014
Kolay gelsin,
Mucip:)
[Cevapla]
evet, dediğim şekilde kullanmalısınız. Sorun olmayacaktır.
[Cevapla]