O prolínání práce v IT a osobního života

neděle 22. července 2007

Nokia 9500 vs. x509v3 - vyřešeno

Nemožnost zpracovávat elektronickou poštu pomocí komunikátoru Nokia 9500 mi velmi znepříjemňovala život. Zkoušel jsem vygooglit nějaké detailnější informace, bohužel neúspěšně.

Rozhodl jsem se tedy pro test, kdy jsem vytvořil více certifikátů, lišících se pouze jediným parametrem, abych lokalizoval problém s nekompatibilitou.
A test prokázal, že není problém ve verzi certifikátu, ani v délce použitého klíče, ani v multiple dns extensions. Problém je v algoritmu podepisování certifikátu. Nokia 9500 nepodporuje SHA-256, je nutné použít SHA-1. Takže odvolávám svůj předchozí výrok, že Nokia 9500 nepodporuje x509v3 :).
Share:

pondělí 16. července 2007

Nokia 9500 vs. x509v3

Dnes jsem zjistil, že Nokia 9500 zřejmě nepodporuje serverové certifikáty x509v3, respektive multiple dns extensions. Během pokusu o stažení elektronické pošty systém oznámí chybu zabezpečené komunikace a skončí. Pokud byste měl někdo opačný poznatek, nebo nějaký trik, prosím dejte mi vědět.
Share:

úterý 10. července 2007

Vytvoření serverového certifikátu

Dnes se na mě obrátil jeden kolega, že potřebuje nový certifikát pro svůj poštovní server. Pro jeho vytvoření jsem použil službu CAcert.

1. Základním předpokladem je mít platný účet na CAcert.
2. Asociujte si doménu serveru, proto který chcete vytvořit certifikát. Klikněte na Domény/Přidat, vyplňte název domény. Následně vyberte emailovou adresu, na kterou se má poslat potvrzovací mail, který slouží pro kontrolu, že máte s danou doménou opravdu něco společného.
3. Jakmile dostanete potvrzovací mail, použijte v něm obsažený odkaz na dokončení asociace domény.
4. Nyní je třeba vygenerovat CSR soubor, k tomu je třeba mít někde nainstalované openssl, postup je následující:

Nejdříve vytvořte klíč:

mother ~/tmp>>> openssl genrsa -out mail.somewhere.org.key 1024
Generating RSA private key, 1024 bit long modulus
................................................++++++
.........................++++++
e is 65537 (0x10001)
mother ~/tmp>>>


Nyní máte klíč ulořený v souboru mail.somewhere.org.key.

V dalším kroku vytvořte samotný CSR:

mother ~/tmp>>> openssl req -new -key mail.somewhere.org.key /
-out mail.somewhere.org.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CZ
State or Province Name (full name) [Some-State]:Czech republic
Locality Name (eg, city) []:Silikonova Lhota
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP s.r.o.
Organizational Unit Name (eg, section) []:NOC
Common Name (eg, YOUR name) []:pop3.somewhere.org
Common Name (eq, YOUR name) []:imap.somewhere.org
Email Address []:admin@somewhere.org

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:secret
An optional company name []:
mother ~/tmp>>>


Tak, výsledný CSR máte uložen v souboru mail.somewhere.org.csr.

5. Na CAcert klikněte na Serverové certifikáty/Nový.
6. Do okna vložte obsah souboru mail.somewhere.org.csr a klikněte na Odeslat.
7. Zkontrolujte CommonName, které musí souhlasit s FQDN vašeho serveru pro který certifikát generujete a klikněte na Odeslat.
8. CAcert vygeneruje nový serverový certifikát. Pokud se k němu budete chtít v budoucnu vrátit, najdete jej po kliknutí na Serverové certifikáty/Zobrazit.

Poznámka: Pokud má váš server více IP adres/FQDN, respektive více aliasů, a budete potřebovat přidat několik CommonName, tak před generováním CSR poeditujte openssl.cnf takto:


mother:/etc/ssl# diff openssl.cnf.orig openssl.cnf
144,145c144,147
< commonName = Common Name (eg, YOUR name)
< commonName_max = 64
---
> 0.commonName = Common Name (eg, YOUR name)
> 0.commonName_max = 64
> 1.commonName = Common Name (eq, YOUR name)
> 1.commonName_max = 64
mother:/etc/ssl#
Share:

Vytvoření serverového certifikátu

Dnes se na mě obrátil jeden kolega, že potřebuje nový certifikát pro svůj poštovní server. Pro jeho vytvoření jsem použil službu CAcert.

1. Základním předpokladem je mít platný účet na CAcert.
2. Asociujte si doménu serveru, proto který chcete vytvořit certifikát. Klikněte na Domény/Přidat, vyplňte název domény. Následně vyberte emailovou adresu, na kterou se má poslat potvrzovací mail, který slouží pro kontrolu, že máte s danou doménou opravdu něco společného.
3. Jakmile dostanete potvrzovací mail, použijte v něm obsažený odkaz na dokončení asociace domény.
4. Nyní je třeba vygenerovat CSR soubor, k tomu je třeba mít někde nainstalované openssl, postup je následující:

Nejdříve vytvořte klíč:

mother ~/tmp>>> openssl genrsa -out mail.somewhere.org.key 1024
Generating RSA private key, 1024 bit long modulus
................................................++++++
.........................++++++
e is 65537 (0x10001)
mother ~/tmp>>>


Nyní máte klíč ulořený v souboru mail.somewhere.org.key.

V dalším kroku vytvořte samotný CSR:

mother ~/tmp>>> openssl req -new -key mail.somewhere.org.key /
-out mail.somewhere.org.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CZ
State or Province Name (full name) [Some-State]:Czech republic
Locality Name (eg, city) []:Silikonova Lhota
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ISP s.r.o.
Organizational Unit Name (eg, section) []:NOC
Common Name (eg, YOUR name) []:pop3.somewhere.org
Common Name (eq, YOUR name) []:imap.somewhere.org
Email Address []:admin@somewhere.org

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:secret
An optional company name []:
mother ~/tmp>>>


Tak, výsledný CSR máte uložen v souboru mail.somewhere.org.csr.

5. Na CAcert klikněte na Serverové certifikáty/Nový.
6. Do okna vložte obsah souboru mail.somewhere.org.csr a klikněte na Odeslat.
7. Zkontrolujte CommonName, které musí souhlasit s FQDN vašeho serveru pro který certifikát generujete a klikněte na Odeslat.
8. CAcert vygeneruje nový serverový certifikát. Pokud se k němu budete chtít v budoucnu vrátit, najdete jej po kliknutí na Serverové certifikáty/Zobrazit.

Poznámka: Pokud má váš server více IP adres/FQDN, respektive více aliasů, a budete potřebovat přidat několik CommonName, tak před generováním CSR poeditujte openssl.cnf takto:


mother:/etc/ssl# diff openssl.cnf.orig openssl.cnf
144,145c144,147
< commonName = Common Name (eg, YOUR name)
< commonName_max = 64
---
> 0.commonName = Common Name (eg, YOUR name)
> 0.commonName_max = 64
> 1.commonName = Common Name (eq, YOUR name)
> 1.commonName_max = 64
mother:/etc/ssl#
Share:

úterý 3. července 2007

Další služba od Google

Dnes jsem experimentoval s novou verzí Picasa2, a zjistil jsem, že autoři implementovali přímý výstup do webgalerie. Tak jsem jednu založil a uploadnul fotky z posledních výletů. Výsledek je možné vidět na http://picasaweb.google.com/kadlec74.
Share:

Další služba od Google

Dnes jsem experimentoval s novou verzí Picasa2, a zjistil jsem, že autoři implementovali přímý výstup do webgalerie. Tak jsem jednu založil a uploadnul fotky z posledních výletů. Výsledek je možné vidět na http://picasaweb.google.com/kadlec74.
Share: