Ana Sayfa » *nix » Update: openSSL 1.0 TSA Özelliği – 5651’a Uygun Log İmzalamak

Update: openSSL 1.0 TSA Özelliği – 5651’a Uygun Log İmzalamak


BerbatKötüİdare EderGüzelHarika (Toplam 2 oy. 5 puan üzerinden ortalama 5,00 || Oy vererek siz de katkıda bulunabilirsiniz.)
Loading...

time-stamp Daha önce ’in TSA özelliği ile 5651 no’lu kanuna uygun olarak log imzalama işlemlerinin nasıl yapılabileceği ile ilgili bir yazı yazmış ve bu yöntemi kullanarak otomatik imzalama yapan bir de shell script yayınlamıştım.

İlgili yazıları yayınladığım dönemdeki (9.8.x) sürümleri TSA özelliğini öntanımlı olarak desteklemiyordu ve bu özelliği kazandırmak için ’e patch geçmek gerekiyordu. Sonradan 1.0.x ile birlikte bu özellik built-in olarak gelmeye başladı. Dolayısı ile 1.0.x sürümleri için patch geçme işlemine gerek kalmadı.

Ancak ilgili yazıda anlatıldığı şekilde imzalama yapabilmek için 9.8.x sürümlerinden farklı olarak 1.0.x sürümüne ait conf dosyasında küçük bir değişiklik yapılması gerekiyor. Aksi halde signer key’in geçersiz olduğunu söyleyen aşağıdaki şekilde bir hata ile karşılaşılıyor

"time stamp routines:TS_RESP_CTX_set_signer_cert: invalid signer certificate purpose:
ts_rsp_sign.c:206"

Bu problemin yaşanmaması için Time Stamping Authority Yapılandırması işleminden önce /usr/local/ssl/.cnf dosyası içerisinde aşağıdaki iki değişikliğin yapılması gerekiyor:

1 -) 215. satırında bulunan

# extendedKeyUsage = critical,timeStamping

ibaresinin başındaki # işareti kaldırılarak uncomment out edilmeli:

2 -) 222. satırda bulunan

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

satırından da “, keyEncipherment” ibaresinin kaldırılmalı.

Sonuç olarak conf dosyasının ilgili bölümlerinin aşağıdaki gibi görünmesi gerekiyor.

# This is required for TSA certificates.
extendedKeyUsage = critical,timeStamping

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature

Bu şekilde, sisteminizde openSSL 1.0.x sürümü mevcut ise yukarıdaki değişiklikleri yaptıktan sonra http://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/ adresindeki yazının “OpenSSL ve Time Stamping Authority Yapılandırması” isimli başlığından başlayarak yapılandırma işlemlerini tamamlayabilir ve log imzalama işlemi yapabilirsiniz.

Kategoriler: *nix,ipucu |

Bu yazılar da ilginizi çekebilir:


- openSSL ve TSA ile Otomatik Log Imzalayıcı (Shell) Script
- OpenSSL ile 5651 Sayılı Kanun Gereği Log Imzalamak
- CentOS x86_64 Sistemlerden i386 Paketlerin Kaldırılması
- Advanced Copy – CP Komutu ve Progress Bar
- MySQL Server Time Zone Değişikliği

Yorumlar


  1. Ekrem YILMAZ | (Nisan 28th, 2013 11:49 am)

    Bu sorun bendede vardı. Dedğiniz iki ad değişkliği yaptım. Fakat aynı hata mesajı devam ediyor.
    Ne yapılabilir.Teşekkürler

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    değişiklikleri yaptıktan sonra http://www.syslogs.org/openssl-ile-5651-sayili-kanun-geregi-log-imzalamak/ adresindeki yazının “OpenSSL ve Time Stamping Authority Yapılandırması” isimli başlığından başlayarak yapılandırma işlemlerini tamamlayabilir ve log imzalama işlemi yapabilirsiniz.

    [Cevapla]

    Ekrem YILMAZ tarafından yanıtlandı.

    Birşey dikkatimi çekti.Burda anlatıklarınızı ben openssl-1.0.1e.tar.gz üzeride yapınca sorun devam ediyor. Centos üzerinde openssl-1.0.0.tar.gz sorunsuz tamamladı

    Teşekkürler.

    [Cevapla]

  2. İsmail DELİGÖZ | (Ocak 27th, 2014 3:04 pm)

    Merhaba;

    Ben Endian Firewall 3.0 Üzerinde Bu işlemi Nasıl Yaparım Üstadım ?

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Merhaba,

    Endian kullanmadığım için doğrudan bir şey söyleyemeyeceğim ancak eğer Endian üzerinde OpenSSL 1.x serisi var ise (ki vardır illa ki) o durumda yazıda anlatıldığı şekilde yapabilirsiniz.

    [Cevapla]

  3. Mucip | (Aralık 12th, 2014 12:36 am)

    Merhaba Çağrı Bey,
    Bendeki conf dosyasında,

    extendedKeyUsage=serverAuth

    görünüyor ve önünde # yok. Sizin belirttiğiniz gibi düzeltsem sıkıntı olur mu acaba?…

    PfSense 2.1.5 kullanıyorum ve SSL versiyonum:

    $ /usr/local/bin/openssl version
    OpenSSL 1.0.1i 6 Aug 2014

    Kolay gelsin,
    Mucip:)

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    evet, dediğim şekilde kullanmalısınız. Sorun olmayacaktır.

    [Cevapla]

Trackbacks

Yorumda bulunun.