* ToDos - /var/install/bin/certs-create-tls-certs - Unter dem Menuepunkt 16 (check package dependent symbolic links) wurde die Funktion zum Erstellen symbolischer Links auf Schluesseldateien entfernt, da das apache2-Paket ab der v1.8.7 keine separaten Schluesseldateien mehr benoetigt und statt dessen auf die entsprechende Schluesseldatei verweist, welche den Schluessel ebenfalls enthaelt. v1.7.6 - 20.02.2024 - stable ============================ * Programme + Das Skript /usr/bin/mk-ca-bundle.pl wurde hinzugefuegt, 20.02.2024 welches zukuenftig das vorherige Skript ersetzt: /var/install/bin/certs-download-mozilla-ca-bundle.pl (M.Roeckrath) * Konfiguration + /var/install/bin/certs-extract-certs-from-ca-bundle - Das 20.02.2024 Skript wurde angepasst, sodass es zukuenftig das neue Skript /usr/bin/mk-ca-bundle.pl zum Herunterladen von Zertifikaten verwendet. (M.Roeckrath) + /tmp/preinstall.sh - Das Skript /usr/bin/mk-ca-bundle.pl wird nun aus der Dateiliste des perl-mozilla-ca-Paketes entfernt, da es zukuenftig Bestandteil des certs-Paketes ist. (M.Roeckrath) + Es wird nun das digicert_global_root_g2.pem-Zertifikat ausgeliefertm das es vom mk-ca-bundle.pl-Skript benoetigt wird. (M.Roeckrath) v1.7.5 - 04.01.2024 - stable ============================ * Konfiguration + /var/install/bin/certs-request-cert - Standardmaessig 04.11.2023 werden nun keine Root- oder selbst signierten Zertifikate mehr heruntergeladen, falls diese von einem Server angeboten werden. Mittels des Schalters --downloadss kann diese Blockade ausser Kraft gesetzt werden. (M.Roeckrath) v1.7.4 - 09.05.2023 - stable ============================ * Konfiguration + /var/install/bin/certs-update-crl - Es wurde die Funktion 09.04.2023 zur Bereinigung der Job-Liste verbessert. + /var/install/bin/certs-find-duplicate-certs, 12.04.2023 /var/install/bin/certs-request-cert, /var/install/bin/certs-send-invalid-certs-warning, /var/install/bin/certs-show-chain, /var/install/bin/certs-update-crl - Es wurde grep-Aufrufe angepasst, um neuerdings auftretende Warnungen zu vermeiden. v1.7.3 - 04.05.2022 - stable ============================ * Konfiguration + /tmp/var_certs.tgz - Standardmaessig wird nun keine 05.10.2021 Let's Encrypt CRL mehr abgerufen, da die verwendeten Zertifikate mittlerweile OCSP für die Gueltigkeits- pruefung verwenden. + /var/install/bin/certs-update-hashes - An Stelle des 04.05.2022 c_rehash-Skriptes wird nun der Befehl 'openssl rehash ...' verwendet um die Zertifikat-Hashes zu erzeugen. v1.7.2 - 27.09.2021 - stable ============================ * Konfiguration + /var/install/bin/certs-find-duplicate-certs, 19.09.2021 /var/install/menu/setup.services.certs.menu - Uber diesen Menueeintrag bzw. mittels dieses Skriptes kann man nach doppelten Zertifikatsdateien suchen. + /var/install/bin/certs-request-cert - Standardmaessig 26.09.2021 werden beim Herunterladen von Zertifikaten auch immer mitgelieferte Zwischenzertifikat heruntergeladen. Will man das Ueberschreiben einzelner Zertifikate verhindern, so kann man inun deren Common Name (CN-Feld) oder deren Hash in die Datei /var/certs/ssl/certs-request- ignore-list eintragen. Es wird generell ein Eintrag pro Zeile erwartet. Die Klein-/Grossschreibung wird ignoriert. (M.Roeckrath) + /var/install/config.d/certs.sh - Es wird nun eine leere 27.09.2021 /var/certs/ssl/certs-request-ignore-list Datei angelegt. (M.Roeckrath) v1.7.1 - 08.02.2021 - stable ============================ * Konfiguration + /var/install/bin/certs-send-invalid-certs-warning - 11.11.2020 Im Nachrichtenkopf wird nun auch der Name des versendenden Skriptes vermerkt (X-Mailer). (R.Bensch) v1.7.0 - 28.09.2020 - stable ============================ * Programme + /var/install/packages/certs - Die Paketanforderungen auf 27.08.2020 Perl 5.30.1 umgestellt. * Konfiguration + /var/install/bin/certs-update-crl - Der Typ einer Wider- rufsliste (CRL/OCSP) wird in der create_at_jobs-Funktion nun korrekt ermittelt. + /var/install/bin/certs-update-crl - Die Pruefung des CRL/OCSP-Dateinamens in der create_single_at_job-Funktion wurde verbessert, sodass eine nicht existierende Datei verlaesslicher herunter geladen wird. v1.6.9 - 10.06.2020 - stable ============================ * Konfiguration + /var/install/bin/certs-show-index-file, 17.05.2020 /var/install/bin/certs-request-cert - Falls das Subject- Feld eines Zertifikates doppelte Anfuehrungszeichen enthaelt, wie dies z.B. bei Starfield-Zertifikaten, so werden diese nun entfernt um die richtige Interpretation der Daten zu ermoglichen. + /var/install/bin/certs-request-cert - Falls das Subject- Feld eines Zertifikates keinen CN=-Eintrag enthaelt, wie dies z.B. bei Starfield-Zertifikaten der Fall ist, so wird nun der OU-Eintrag ausgelesen um den Dateinamen festzulegen. v1.6.8 - 04.04.2020 - stable ============================ * Konfiguration + /var/install/config.d/certs.sh - Es wird nun keine 01.01.2020 Fehlermeldung mehr ausgegeben, wenn kein nagios-Paket installiert ist. + /var/install/bin/certs-create-tls-certs, 22.03.2020 /var/install/bin/certs-show-index-file - Du Zeitzone wird nun aus der Datei /etc/config.d/locales gelesen. (F.Meyer) + /var/install/bin/certs-extract-certs-from-ca-bundle - 04.04.2020 Bei der Suche nach dem mk-ca-bundle.pl-Skript werden nun Mehrfachtreffer verhindert. (M.Roeckrath) v1.6.7 - 14.12.2019 - stable ============================ * Konfiguration + /var/install/bin/certs-request-cert - Es wird nun keine 14.12.2019 awk-Warnung mehr ausgegeben, die sich durch die Verwendung der neuen gawk-Programmversion 5.0.1 eingeschlichen hat. (M.Roeckrath) v1.6.6 - 24.08.2019 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Es wurde ein 16.04.2019 Fehler bei der zu verwendenden Schluesseldatei behoben. (M.Roeckrath) + /var/install/bin/certs-find-unrequired-certs - Mittels 09.07.2019 des Kommandozeilenschalters '--keep-tmpfile' wird das Loeschen der waehrend der Analyse erzeugten temporaeren Datei verhindert. + /var/install/bin/certs-create-tls-certs - Es wird nun 24.08.2019 auch das Paket 'proftpd' erkannt und unterstuetzt. v1.6.5 - 06.03.2019 - stable ============================ * Konfiguration + /var/install/bin/certs-update-crl - Es wurde ein Fehler 25.01.2019 bei der Verwendung des Kommandozeilenschalters '--single' behoben, welcher zum Blockieren des Skriptes fuehren konnte. v1.6.4 - 29.10.2018 - stable ============================ * Konfiguration + /tmp/install.sh - Bei einer Neuinstallation des Paketes 03.09.2018 wird nun nicht mehr automatisch der Konfigurationseditor aufgerufen. (D.Vogel) + /var/install/config.d/certs.sh - Es wird nun sicher 13.09.2018 gestellt, dass alle symbolischen Links, die fuer die Anzeige der CA-Policy benoetigt werden, existieren. (H-G.Kiefer) + /var/install/bin/certs-create-tls-certs - Beim Widerruf 17.09.2018 eines Zertifikates werden nun die Informationen ueber die Zertifikatsgueltigkeit formatiert ausgegeben. + /var/install/bin/certs-download-ca-bundle, 29.10.2018 /var/install/bin/certs-find-unrequired-certs, /var/install/bin/certs-request-cert - Es werden nun keine eisfair-2 spezifischen Pfadeinstellungen mehr gesetzt. (M.Roeckrath) v1.6.3 - 25.05.2018 - stable ============================ * Konfiguration + /var/install/bin/certs-download-ca-bundle, 21.05.2018 /var/install/bin/certs-update-crl - Pfade zum dtou-Programm und wget.sh-Skript geaendert. + /var/install/bin/certs-show-chain - Es wurde ein Fehler 23.05.2018 bei der Pruefung der Zertifikatsgueltigkeit behoben. (M.Roeckrath) + /var/install/bin/certs-show-chain - Es wurde ein Tippfehler 24.05.2018 korrigiert, der dazu fuehrte, dass im certs-Verzeichnis eine Datei mit Namen '%1' angelegt wurde. (M.Roeckrath) + /var/install/bin/certs-find-unrequired-certs - Die Erkennung 25.05.2018 von Zwischenzertifikaten (I) wurde verbessert. (M.Roeckrath) v1.6.2 - 10.05.2018 - stable ============================ * Programme + /usr/bin/ssl/c89.sh, /usr/bin/ssl/c_hash, 19.04.2018 /usr/bin/ssl/c_info, /usr/bin/ssl/c_issuer, /usr/bin/ssl/c_name, /usr/bin/ssl/c_rehash - Die Skripte wurden aus dem Paket wurden entfernt, da sie nicht mehr benoetigt oder aber vom openssl-Paket bereit gestellt werden. * Konfiguration + /tmp/install.sh, 19.04.2018 /var/install/bin/certs-create-tls-certs, /var/install/bin/certs-download-ca-bundle, /var/install/bin/certs-extract-certs-from-ca-bundle, /var/install/bin/certs-find-unrequired-certs, /var/install/bin/certs-request-cert, /var/install/bin/certs-update-crl - Statt des c_rehash- Programms wird nun das Skript certs-update-hashes verwendet, da dann auch die symbolischen Links zu den CRLs korrekt kopiert werden. + /var/install/bin/certs-update-hashes - Zur Erzeugung der Hashes wird nun das /usr/bin/c_rehash-Skript aus dem openssl-Paket verwendet. + /var/install/bin/certs-show-index-file - Mittels der 29.04.2018 optionalen Schalter --sort und --sortrev kann nun die Ausgabe un chronologischer oder umgekehr chronologischer Reihenfolge ausgegeben werden. + /var/install/bin/certs-show-index-file - Mittels des optionalen Schalters --noheader kann nun die Ausgabe des Datenamens und der Sortiereinstellung unterdrueckt werden. + /var/install/bin/certs-show-index-file - Mittels des optionalen Schalters --shortlable werden bei der Ausgabe nur zweistellige Feldbezeichner verwendet.:w + /var/certs/check_open_port.pl - Das Skript unterstuetzt 10.05.2018 nun auch Hosts die nur ueber IPv6 IP-Adressen erreichbar sind. v1.6.1 - 31.03.2018 - stable ============================ * Konfiguration /var/install/bin/certs-update-crl - Falls ein Zertifikats- 31.03.2018 name ein Ausrufezeichen enthaelt, wie z.B. bei dem QuoVadis Root CA-Zertifikat, so wird dieses nun korrekt herunter geladen. (M.Roeckrath) v1.6.0 - 07.03.2018 - stable ============================ * Programme + /var/install/packages/certs - Die Paketanforderungen auf 24.02.2018 Perl 5.24.1 umgestellt. * Konfiguration + /var/install/bin/certs-extract-certs-from-ca-bundle - 07.03.2018 Bei der Ausfuehrung des Skriptes wird nun auch die jedlib korrekt geladen. (M.Roeckrath) v1.5.7 - 19.02.2018 - stable ============================ * Konfiguration + /var/install/bin/certs-scan-ciphers - Neues Skript 31.01.2018 hinzugefuegt, welches es erlaubt die von einem Dienst unterstuetzten Ciphers zu ermitteln. + /var/install/bin/certs-send-invalid-certs-warning - Es 01.02.2018 wurde ein Fehler beim Setzen der Senderdomain behoben. (M.Roeckrath) + /var/install/bin/certs-request-cert - Beim Herunterladen 16.02.2018 von Zertifikaten wird nun nicht mehr der absolute Pfad zur Datei ausgegeben, sondern nur noch der Dateiname. + /var/install/bin/certs-request-cert - Der Dateiname eines 18.02.2018 herunter geladenen Zertifikates wird nun auch bei Verwendung von OpenSSL 1.1 wieder korrekt gebildet. (In der neuen Programmversion folgt den Felder in den Betreff- und Ausstellerdaten nun immer ein Leerzeichen.) (R.Hanke) + /var/install/bin/certs-show-chain - Wenn sich in den Betreff- und Ausstellerdaten "-Zeichen befinden, wie z.B. beim "VeriSign Class 3 Public Primary Certification Authority - G5"-Zertifikat, werden diese nun vor der Weiterverarbeitung heraus gefiltert. (R.Hanke) + /var/install/bin/certs-show-index-file - Die einzelnen Felder in den Betreff- und Ausstellerdaten werde nun auch bei Verwendung von OpenSSL 1.1 wieder korrekt ermittelt. v1.5.6 - 20.01.2018 - stable ============================ * Konfiguration + /etc/check.d/certs, /etc/check.d/certs.exp, 20.01.2018 /var/install/config.d/certs-update.sh - Fehlende Eintraege fuer den neuen Parameter CERTS_CERT_REQ_NAME ergaenzt. (T.Schulz) v1.5.5 - 19.01.2018 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Google Chrome 58 21.11.2017 verlangt zwingend, dass das Feld "Subject Alt Names" ab dem ersten Common Name in einem Zertifikat gesetzt wird. Diesem Wunsch wird bei der Zertifikatserstellung nun Rechnung getragen. (R.Mische) + /var/install/bin/certs-create-tls-certs - Bei Auswahl des 02.12.2017 Menuepunktes 12 'sign certificate request with CA key' wird nun geprueft, ob ein Zertifikat mit gleichen Subject bereits existiert und gegebenenfalls eine Warnung ausgegeben. (R.Mische) + /etc/check.d/certs, /etc/check.d/certs.exp, 03.12.2017 /var/install/bin/certs-create-tls-certs, /var/install/config.d/certs-update.sh - Die folgenden Parameter wurden neu hinzugefuegt, um die Voreinstellungen fuer die Zertifikatserstellung an die eigenen Beduerfnisse anpassen zu koennen: CERTS_CA_CCODE CERTS_CERT_CCODE CERTS_CA_STATE CERTS_CERT_STATE CERTS_CA_LOCALITY CERTS_CERT_LOCALITY CERTS_CA_ORGA_NAME CERTS_CERT_ORGA_NAME CERTS_CA_ORGA_UNIT CERTS_CERT_ORGA_UNIT CERTS_CA_ADMIN_NAME CERTS_CERT_REQ_NAME CERTS_CA_ADMIN_EMAIL CERTS_CERT_REQ_EMAIL + /var/install/bin/certs-show-index-file - Es wurden neue 04.12.2017 Kommandozeilenschalter hinzugefuegt, um Einfluss auf die angezeigten Daten zu nehmen. + /var/install/bin/certs-create-tls-certs - Ueber den 12.12.2017 Menuepunkt "17 - show certificate file details" laesst sich auf Wunsch nun auch der Inhalt einer Zertifikatsdatei anzeigen. + /var/install/bin/certs-show-chain - Eine Zertifikatspruefung 16.12.2017 findet nun auch fuer Zertifikate statt, welche nur ueber OCSP (Online Certificate Status Protocol) verifiziert werden koennen. + /var/install/bin/certs-show-chain - Eine Zertifikatspruefung 19.12.2017 ueber OCSP ist nun auch dann moeglich, wenn OpenSSl 1.1.0 oder neuer verwendet wird. + /var/install/bin/certs-update-crl - Das Skript behandelt nun 20.12.2017 OCSP-Antworten in gleicher Weise wie CRL-Dateien. + /var/install/bin/certs-update-crl - Bei der OCSP-Pruefung 23.12.2017 eines Root-Zertifikates wurd nun kein Fehler mehr angezeigt. (M.Roeckrath) + /var/install/bin/certs-extract-certs-from-ca-bundle, 24.12.2017 /var/install/bin/certs-request-cert, /var/install/bin/certs-show-chain - Um die Abhaengigkeit von eisman zu loesen, wurde 'eisman check --diff ...' durch eine Funktion 'compare_version --text ...' ersetzt. + /var/install/bin/certs-show-chain - Die Erkennung von 27.12.2017 CRL URI wurde weiter verbessert. + /var/install/bin/certs-update-crl - Es wird nun sicher gestellt, dass Hostnamen in URI in Kleinbuchstaben gespeichert werden. + /var/install/bin/certs-update-hashes - Das Skript kann nun 17.01.2017 auf Wunsch auch von der Kommandozeile gestartet und durch Kommandozeilenschalter gesteuert werden. v1.5.4 - 20.11.2017 - stable ============================ * Konfiguration + /var/install/bin/certs-extract-certs-from-ca-bundle - Vor 04.11.2017 dem Herunterladen des CA-Bundle wird jetzt die Version des Perl-Skriptes geprueft um sicher zu stellen, dass nur die neueste Skriptversion zur Anwendung kommt. (M.Roeckrath) + /var/install/bin/certs-request-cert - Es ist nun auch 08.11.2017 moeglich Zertifikate von virtuellen Hosts ueber HTTPS anzurufen. + /var/install/bin/certs-create-tls-certs - Die bei einem 13.11.2017 Zertifikatswiderruf angezeigte Zertifikatsseriennummer wird nun sowohl als Dezimal- wie auch als Hexadezimalwert angezeigt. + /var/install/bin/certs-show-chain - Zwischenzertifikate 20.11.2017 werden bei Verwendung des Schalters '--tableview' nun mit einem 'I' gekennzeichnet. v1.5.3 - 31.10.2017 - stable ============================ * Konfiguration + /var/install/bin/certs-update-crl-uri - Fehler beim Setzen 31.10.2017 der Benutzerrechte im Webroot-Verzeichnis behoben. (M.Roeckrath) v1.5.2 - 31.10.2017 - stable ============================ * Konfiguration + /var/install/bin/certs-request-cert - Tippfehler behoben, 05.09.2017 der das Kopieren der CRL-Hashes verhinderte. + /var/install/bin/certs-request-cert - Es wird nun eine 09.09.2017 eventuell angegebene Protokollinformation, wie z.B. 'https://', vom Servernamen entfernt. + /var/install/bin/certs-show-chain - Bei Verwendung des Schalters '--tableview' wird nun nicht nur die Zertifikats- kette, sondern auch das Resultat deren Pruefung ausgegeben. + /var/install/bin/certs-download-mozilla-ca-bundle.pl - 26.09.2017 Die Version 1.27 des mitgelieferte Skriptes wurde aus dem curl-Repository (https://github.com/curl/curl/blob/master /lib/mk-ca-bundle.pl) uebernommen. v1.5.1 - 24.08.2017 - stable ============================ * Konfiguration + /var/install/bin/certs-update-crl - Es wird nun keine 20.08.2017 Fehlermeldung mehr in der Funktion zur Erstellung eines at-Jobs ausgegeben, wenn bis dato keine CRL-Datei existiert. (H.Bruenjes) + /var/install/bin/certs-update-crl - Mittels der Schalter 21.08.2017 '--searchsingleuri' und '--searchalluris' kann man sich nun die Zertifikate anzeigen lassen, die auf eine bestimmte bzw. alle konfigurierten CRL referenzieren. + /var/install/bin/certs-create-tls-certs, 22.08.2017 /var/install/bin/certs-update-crl, /var/install/bin/certs-update-crl-uri - Die CRL-Datei der eigenen CA heisst nun nicht mehr nur 'crl.pem', sondern enthaelt zusaetzlich noch den Apache2-Servernamen, wie dies standardmaessig bereits bei allen anderen CRLs gemacht wird. (M.Roeckrath) + /tmp/var_certs.tgz - Standardmaessig wird nun nur die 24.08.2017 Let's Encrypt CRL abgerufen, da entsprechende Zertifikate vom eisfair-Projekt verwendet werden. + /tmp/install.sh - Die Funktion zur Pruefung der CRL-Liste wurde ueberarbeitet, sodass nun auch Kommentare erhalten bleiben und ldap-Zeilen entfernt werden. v1.5.0 - 15.08.2017 - stable ============================ * Konfiguration + /var/install/bin/certs-request-cert - Ueber den optionalen 16.07.2017 Kommandozeilenparameter '--certdetails' koennen auf Wunsch weitergehende Zertifikatsdetails ausgegeben werden. (M.Roeckrath) + /var/install/bin/certs-show-chain - Wird bei der Pruefung 20.07.2017 einer Zertifikatskette ein Fehler festgestellt, so wird dieser nun auch bei der Verwendung des Schalters '--tableview' ausgegeben. + /var/install/bin/certs-find-unrequired-certs - Es wurde eine Funktion zur Erkennung von Zwischenzertifikaten implementiert. + /var/install/bin/certs-find-unrequired-certs - Wenn bei der Pruefung einer Zertifikatskette ein Fehler aufgetreten ist, so werden die fehlerbehafteten Zertifikate deutlich gekennzeichnet. + /var/install/bin/certs-request-cert - Es ist nun moeglich 15.08.2017 mittels des Schalters '--simulate' eine Zertifikatsabfrage zu simulieren. (M.Roeckrath) + /var/install/bin/certs-extract-certs-from-ca-bundle, /var/install/bin/certs-find-unrequired-certs, /var/install/bin/certs-request-cert, /var/install/bin/certs-show-chain, /var/install/bin/certs-update-hashes - Da das Skript /usr/bin/ssl/c_rehash beim Erneuern der Zertifikats-Hashes auch die CRL-Links loescht, werden diese nun automatisch neu erstellt, wenn die Aktualisierung der Hashes angefordert wird. (M.Roeckrath) v1.4.9 - 27.06.2017 - stable ============================ * Konfiguration + /var/install/packages/certs - Paketanforderungen fuer die 27.06.2017 Installation korrigiert. v1.4.8 - 16.05.2017 - stable ============================ * Konfiguration + /var/install/bin/certs-request-cert - Die Funktion zum 07.04.2017 Lesen des Domainnamens eines Zertifikates wurde verbessert um optional angegebene E-Mail-Adressen heraus zu filtern. (M.Roeckrath) + /tmp/install.sh - Bei der Installation des Paketes wird nun 08.04.2017 geprueft, ob eventuell bereits certs-Modulpakete installiert waren. Falls ja, wird ein Menueeintrag "Goto certs modules" zum Menue hinzugefuegt. (H-G.Kiefer) + /var/install/bin/certs-update-crl - Die Funktion zum Lesen 08.05.2017 der CRL-URI wurde verbessert, sodass nun LDAP-Adressen ignoriert werden. (D.Alberti) + /var/install/bin/certs-update-crl - Die Funktion zum 11.05.2017 Laden von CRL wurde verbessert, sodass bei bei einem fehlgeschlagenen ersten Zugriffsversuch nun automatisch ein zweiter Versuch mit einem veraenderten User-Agent gestartet wird. Dies sollte verhindern, dass eine CRL nicht geladen werden kann weil Wget als User-Agent nicht zugelassen wird. (D.Alberti) + /var/install/config.d/certs.sh - Es werden nun keine Fehler 14.05.2017 mehr angezeigt, wenn die symbolischen Hash-Links erneuert werden. (M.Roeckrath) + /var/install/bin/certs-update-crl - Bei der Pruefung, ob 16.05.2017 eine CRL bereits in der CRL-Listen enthalten ist, wird nun nicht mehr nach http- und https-URL unterschieden, sodass Mehrfachdownloads vermiden werden sollten. v1.4.7 - 06.04.2017 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Es wird nun 09.09.2016 keine Fehlermeldung mehr ausgegeben, wenn eine leere CRL-Datei existiert und somit das Gueltigkeitsdatum nicht gelesen werden kann. + /var/install/bin/certs-request-cert Beim Abruf eines 12.09.2016 Zertifikates werden nun alle uebermittelten Zertifikate herunter geladen und gegebenenfalls auf dem Server gespeichert. So sollte das leidige Suchen von Zwischenzertifikaten der Vergangenheit angehoeren, so sie denn uebermittelt werden. (H.Bruenjes) + /tmp/install.sh, /var/install/bin/certs-update-crl, 14.10.2016 /var/install/bin/certs-update-hashes, /var/install/config.d/certs.sh - Um bei der Pruefung einer Zertifikatskette einen 'error 3 at 0 depth lookup:unable to get certificate CRL'-Fehler zu vermeiden werden nun auch im ../certs-Verzeichnis dymbolische Links auf CRL-Dateien angelegt. Siehe hierzu auch: https://github.com/openssl/openssl/issues/1701 + /var/install/bin/certs-show-chain - Es wird nun auch noch 15.10.2016 die Gueltigkeit der Zertifikatskette mit Hilfe des 'openssl verify'-Befehl geprueft. + /var/install/bin/certs-show-tls-certs - Es wird nun auch 30.01.2016 dann die Zertifikatsliste korrekt aufgebaut, wenn ein toter symbolischer Link im Verzeichnis gefunden wurde. (H-G.Kiefer) + /var/install/bin/certs-send-invalid-certs-warning - Es 01.11.2016 werden nun auch tote symbolische Links im Verzeichnis erkannt. + /var/install/bin/certs-update-crl - Beim Herunterladen 10.11.2016 der CRL-Dateien wird nun im interaktiven Modus ein Fortschrittsbalken angezeigt um besser abschaetzen zu koennen wie lange ein Vorgang noch dauert. v1.4.6 - 07.09.2016 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Falls bei der 01.04.2016 Erstellung einer Zertifikatsanforderung dem Common Name der Prefix 'USER:' voran gestellt wurde, so wird davon ausgegangen, dass ein reines Anwenderzertifikat erstellt werden soll bei welchem die Eingabe von Leerzeichen im Text zulaessig ist. (R.Mische) + /var/install/menu/setup.services.certs.menu, 07.09.2016 /var/install/menu/setup.services.certs.show.menu - Es wurden alle Menuepunkte die Details rund um die Zertifikatserstellung anzeigen unter einem eigenen Menuepunkt zusammengefasst. v1.4.5 - 20.02.2016 - stable ============================ * Konfiguration + /var/install/bin/certs-send-invalid-certs-warning - 16.01.2016 Ueber den Schalter '--nosymlinks' koennen nun symbolische Links auf Zertifikatsdateien von der Anzeige ausgeschlossen werden, um mehrfache Nennungen von Zertifikaten zu vermeiden. + /usr/share/doc/certs/check_eisfair_certificates - Es werden nun keine Zertifikate mehrfach angezeigt, wenn auf diese mittels symbolischer Links referenziert wurde. + /var/install/config.d/certs.sh - Mittels des Schalters '--setrights' koennen nun die Verzeichnis- und Dateirechte korrekt gesetzt werden. + /var/install/bin/certs-update-crl - Falls eine CRL einen 24.01.2016 ungueltigen nextUpdate-Eintrag enthaelt, wird nun eine entsprechende Fehlermeldung ausgegeben und kein Versuch unternommen diese zu aktualisieren. (F-P.Amlong) + /var/install/bin/certs-update-hashes, 16.02.2016 /var/install/menu/setup.services.certs.menu - Ueber den Menuepunkt 'Update certs/crl hashes' koennen nun auf Wunsch die Zertifikats- und Zertifikatswiderrufslisten- Hashes aktualisiert werden. + /var/install/bin/certs-extract-certs-from-ca-bundle - 20.02.2016 Fuer das Herunterladen und Entpacken des CA-Bundles wird nun standardmaessig das mk-ca-bundle.pl-Skript aus dem perl_addons_01-Paket verwendet. (M.Roeckrath) v1.4.4 - 20.11.2015 - stable ============================ * Konfiguration + /var/install/bin/certs-send-invalid-certs-warning - 19.11.2015 Ueber den Schalter '--nosend' kann nun der Versand des Pruefergebnisses unterdrueckt und dieses statt dessen auf der Konsole ausgegeben werden. v1.4.3 - 24.07.2015 - stable ============================ * Konfiguration + /var/install/bin/certs-request-cert - Es wurde die 22.07.2015 Pruefung der Server-Erreichbarkeit vereinfacht und auf die Verwendung des ping-Befehls verzichtet, da die vorhandene Port-Pruefung auch dann ein aussagekraeftiges Resultat liefert wenn ICMP fuer den entfernten Server deaktiviert wurden. v1.4.2 - 27.05.2015 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Fehler in der 06.04.2015 Anzeige von symbolischen Links behoben, wodurch ein Zertifikatsnamen in einer falschen Spalte angezeigt wurde. (M.Roeckrath) v1.4.1 - 07.03.2015 - stable ============================ * Konfiguration + /tmp/install.sh, /var/install/bin/certs-update-crl-uri - 28.02.2015 Die fuer die Erstellung von symbolischen Links verwendeten Verzeichnisnamen wurden vereinheitlicht um Verwirrungen zu vermeiden. (M.Roeckrath) + /var/install/bin/certs-create-tls-certs - Es ist nun auch moeglich einen symbolischen Link fuer das Zertifikat eines mini_httpd-Servers zu erstellen. (D.Alberti) + /var/install/bin/certs-create-tls-certs - Bevor ein Zertifikat widerrufen wird, werden nun dessen Details angezeigt, sodass man nicht faelschlicherweise ein anderes Zertifikat widerruft. + /var/install/bin/certs-create-tls-certs - Es koennen nun auch Schluessel auf Basis von elliptischen Kurven erzeugt werden. + /var/install/bin/certs-create-tls-certs - Es wird nun kein 'certificate generation unsuccessful'-Fehler mehr angezeigt, wenn ein Zertifikat erst in der Zukunft gueltig wird. + /var/install/bin/certs-create-tls-certs - Falls bei der 01.03.2015 Erstellung eines Zertifikates keine E-Mail Adresse angegeben wird, werden nun keine leeren 'X509v3 Subject Alternative Name'- und 'X509v3 Subject Alternative Name'- Parameter mehr in das Zertifikat eingefuegt, da dies in Firefox 36 zu einem 'sec_error_bad_der'-Fehler fuehrt. (D.Alberti u. S.Heidrich) + /var/install/bin/certs-create-tls-certs - Auf Wunsch ist es 02.03.2015 nun moeglich die symbolischen Links fuer alle installierten Anwendungen auf einmal erstellen zu lassen. (D.Alberti) + /var/install/bin/certs-create-tls-certs - Wenn ein Webserver- 04.03.2015 oder Mailserver-Zertifikat im batch-Modus erstellt werden soll, so werden nun auch Diffie Hellman-Parameter und die symbolische Links erzeugt. + /var/install/bin/certs-create-tls-certs - Es ist nun auch moeglich einen symbolischen Link fuer das Zertifikat eines ssmtp-Servers zu erstellen. + /var/install/bin/certs-create-tls-certs - Es wird nun vor 07.03.2015 dem Versand einer E-Mail geprueft, ob sich das verwendete Skript auf dem Server befindet und gegebenenfalls eine Fehlermeldung ausgegeben. (H.Bruenjes) + /usr/bin/ssl/c_rehash - Es wird nun ueber den eingestellten Suchpfad nach dem zu verwendenden openssl-Programm gesucht, um einen Fehler zu vermeiden falls sich im aktuellen Verzeichnis ein Verzeichnis mit Namen 'openssl' befindet. (H.Bruenjes) v1.4.0 - 26.02.2015 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Falls bei der 26.02.2015 Erstellung einer Zertifikatsanforderung dem Common Name ein Prefix 'DNS:' oder 'IP:' voran gestellt wurde, so wird dieser nun vor den Setzen des CN-Parameters entfernt. v1.3.9 - 24.02.2015 - stable ============================ * Konfiguration + /var/install/config.d/certs-update.sh - Es wird nun keine 24.02.2015 Tastatureingabe bei einem Paket-Update gefordert, wenn der Parameter CERTS_WEBSERVER_NAME nicht gesetzt wurde. v1.3.8 - 21.02.2015 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Wenn als 21.02.2015 Zeitzone z.B. 'Europe/Berlin' eingestellt wurde, so wird dies bei Datumsberechnungen nun in richtiger Weise beruecksichtigt. (P.Schauder) v1.3.7 - 19.02.2015 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Bei der 23.09.2014 Erstellung von Zertifikatsanforderungen wird jetzt standardmaessig SHA384 an Stelle von SHA512 verwendet, da dies von mehr Servern unterstuetzt wird. + In der Datei openssl.cnf wurde die Standardeinstellung des Parameters default_md von 'sha1' auf 'sha384' umgestellt. + /etc/default.d/certs, /etc/check.d/certs, /etc/check.d/certs.exp - Es wurde der Parameter CERTS_HASH_ALGORITHM hinzugefuegt, ueber welchen ein vom Standard abweichender Hash-Algorithmus gesetzt werden kann. + /var/install/bin/certs-create-tls-certs - Beim Unterzeichen 02.10.2014 einer Zertifikatsanfrage wird nun auch der ausgewaehlte Hash-Algorithmus korrekt an den OpenSSL-Befehl uebergeben. + /tmp/var_certs.tgz - Die Beschreibung des Zertifikats- 01.01.2015 parameters 'Common Name' wurde von 'eg, YOUR name' in 'eg, CA:Your name/CERT:FQDN) geaendert, um deutlicher darauf hinzuweisen, dass bei der Zertifikatserstellung der Full Qualified Domain Name (FQDN) anzugeben ist. + /var/install/bin/certs-create-tls-certs - Das Skript wurde 07.01.2015 ueberarbeitet um deren Handhabung verstaendlicher zu machen. - Fuer Benutzerinteraktion wird nun durchgaengig der ask- Befehl verwendet. - Es werden nun standardmaessig DH-Parameter mit einer einer Laenge von 2048, an Stelle von 1024, erstellt. - Bei Auswahl des Zertifikatstyps 'client/server' wird nun auch 'client/server' an Stelle von 'client' angezeigt. - Bei 'client/server'-Zertifikaten ist es nun immer moeglich auch DH-Parameter zu erzeugen. Dies war in der Vergangenheit nur moeglich wenn man den Typ 'mail' oder 'web' ausgewaehlt hatte. - Die separaten Menuepunkte 'mail' und 'web' wurden entfernt, da diese eher zu Verwirrung den zu einer Klarstellung fuehrten. Von Seiten des Zertifikats gab es hier bis auf die DH-Parameter keine Unterschiede. - Die Menueanzeige wurde optimiert um die Abfolge bei der Generierung von Zertifikaten deutlicher kenntlich zu machen. - Der bisherige Menuepunkt 17 (17 - send certificates by e-mail) wurde entfernt und direkt in die Hauptmenuezeile integriert ((e)mail certs). - Der bisherige Menuepunkt 16 (show key and certificate location) wurde nach 17 verschoben um Platz fuer den neuen Menuepunkt 16 (check package dependent symbolic links) zu schaffen und darueber hinaus in 'show certificate file details' umbenannt um weitere Funktionen bereitstellen zu koennen. - Ueber den neuen Menuepunkt 16 (check package dependent symbolic links) kann man sich nun die paketspezifischen Zertifikate bzw. deren symbolische Links auf das verwendete Hauptzertifikat anzeigen lassen und diese bei Bedarf anpassen. - Wenn eine vorhandene Schluesseldatei ueberschrieben werden soll, werden die bisherigen Schluessel- und Zertifikats- dateien nun zuvor archiviert und nicht geloescht. - Vor dem Signieren eines Zertifikates wird nun nur noch dann zur Aktualisierung der Zertifikatsdatenbank aufgefordert, wenn diese aelter als 24h ist. + /usr/bin/ssl/c_rehash - Vor dem Anlegen eines Hash-Links wird 20.01.2015 nun eine eventuell vorhandene Datei geloescht, um sicher zu stellen, das ein symbolischer Link erstellt werden kann. + /usr/local/ssl/openssl.cnf - Es wurde das optionale Feld 25.01.2015 'subjectAltName' zur Konfiguration hinzugefuegt, sodass bei der Erstellung einer Zertifikatsanfrage (CSR) alternative DNS Namen bzw. IP-Adressen in einem Zertifikat konfiguriert werden koennen. Es koennen mehrere, durch Komma getrennte Werte eingegeben werden. DNS-Namen ist dabei ein 'DNS:' voran zu stellen, IP-Adressen ein 'IP:. + /etc/default.d/certs, /etc/check.d/certs, /etc/check.d/certs.exp - Es wurde der Parameter CERTS_RSA_KEYBITS hinzugefuegt, ueber welchen ein vom Standard abweichender Bit-Wert fuer die Erstellung von RSA-Schluesseln gesetzt werden kann. + /var/install/bin/certs-update-crl - Es werden nun auch CRLs korrekt verarbeitet, die im DOS-Dateiformat vorliegen. + /var/install/bin/certs-send-invalid-certs-warning - Ueber 04.02.2015 dieses Skript ist es moeglich alle vorhandenen Zertifikats- dateien auf Gueltigkeit zu pruefen und bei Bedarf eine E-Mail an eine E-Mail-Adresse zu senden. + /var/install/bin/certs-show-index-file - Ueber dieses Skript ist es moeglich sich den Inhalt der index.txt, d.h. dem zentralen Zertifikatsspeicher, anzeigen zu lassen um auf einfache Weise zu sehen, ob ein Zertifikat gueltig oder abgelaufen ist bzw. widerrufen wurde. v1.3.6 - 16.09.2014 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Bei der 20.08.2014 Erstellung von Zertifikatsanforderungen wird jetzt standardmaessig SHA512 an Stelle von SHA1 verwendet, um die Sicherheit bei Zertifikaten zu erhoehen. Siehe auch: http://www.heise.de/newsticker/meldung/ Google-Chrome-soll-SHA-1-vertreiben-2297794.html + In der Datei openssl.cnf wurde die Standardeinstellung des Parameters default_md von 'sha1' auf 'sha512' umgestellt. + /var/install/bin/certs-update-crl - Falls das Herunterladen 16.09.2014 einer CRL fehlschlaegt, wird im Abstand von 3min automatisch ein erneuter Ladeversuch unternommen. (R.Mische) v1.3.5 - 10.08.2014 - stable ============================ * Konfiguration + /var/install/bin/certs-show-chain - Es wird nun auch 29.05.2014 der MD5-Fingerprint eines Zertifikates angezeigt, um so einfacher die Fetchmail-Konfiguration vornehmen bzw. pruefen zu koennen. + /var/install/bin/certs-update-crl - Es wurde der 05.07.2014 Kommandozeilenschalter '--grepsingleuri' hinzugefuegt, welcher es erlaubt die CRL URL eines einzelnen Zertifikates zu lesen. (M.Roeckrath) + /var/install/bin/certs-update-crl - Falls ein Server 10.08.2014 laengere Zeit ausgeschaltet war und somit die at-Jobs nicht abgearbeitet werden konnten, werden diese beim erneuten Start verzoegert um die Anzahl gleichzeitiger Jobs zu begrenzen und Dateizugriffsprobleme zu vermeiden. v1.3.4 - 12.05.2014 - stable ============================ * Konfiguration + /var/install/bin/certs-find-unrequired-certs - Neues 15.04.2014 Skript hinzugefuegt, welches es erlaubt unbenoetigte Root-Zertifikate zu identifizieren und diese bei Bedarf zu archivieren oder zu loeschen. + /var/install/bin/certs-update-crl - Bei Verwendung des 27.04.2014 Schalters '-single ' wird nun eine fehlende CRL-URL korrekt zur CRL-Liste hinzugefuegt. + /var/install/bin/certs-find-unrequired-certs, 08.05.2014 /var/install/bin/certs-show-chain - Es werden nun auch Zertifikatsdateien korrekt verarbeitet, die Leerzeichen enthalten. (R.Mische) + /var/install/menu/setup.services.certs.menu, 11.05.2014 /var/install/menu/setup.services.certs.find-unrequired.menu - Ueber den neuen Menuepunkt 'Identify unrequired certificates' koennen nun nicht mehr benoetigte Zertifikate identifiziert und auf Wunsch auch archiviert oder geloescht werden. + /var/install/bin/certs-show-chain - Es ist nun moeglich mittels des Schalters '--package' eine Archivdatei zu erstellen, die alle Zertifikate einer Zertifikatskette enthaelt. + /var/install/bin/certs-show-chain - Es ist nun moeglich 12.05.2014 mittels des Schalters '--emailpackage' eine Archivdatei per E-Mail zu versenden, die alle Zertifikate einer Zertifikatskette enthaelt. + /var/install/bin/certs-show-chain - Es ist nun moeglich den Schalter '--emailpackage' in Kombination mit dem Schalter '--user' zu verwenden bzw. auch als nicht-root-User eine Archivdatei per E-Mail zu versenden. (M.Roeckrath) v1.3.3 - 14.04.2014 - stable ============================ * Konfiguration + /var/install/bin/certs-extract-certs-from-ca-bundle - Dieses 12.04.2014 Skript ersetzt das bisherige Skript (certs-download-ca-bundle) zur Aktualisierung von Root-Zertifikaten. (M.Roeckrath) + /var/install/bin/certs-download-mozilla-ca-bundle.pl - Dieses Skript wird zum Herunterladen des Mozilla Root-Zertifikats- Bundles verwendet. (M.Roeckrath) + /var/install/bin/certs-show-tls-certs - Die Anzeige der 14.04.2014 Dateinamen wurde in Bezug auf lange Dateinamen optimiert. (M.Roeckrath) v1.3.2 - 08.02.2014 - stable ============================ * Konfiguration + /var/install/bin/certs-cert-key-matcher, 05.02.2014 /var/install/bin/certs-update-crl - Tippfehler behoben, welcher zu einer sed-Fehlermeldung auf eisfair-2 Rechnern fuehren konnte. (S.Kuhne) + /var/install/bin/certs-create-tls-certs - Bei der 08.02.2014 Aktualisierung der CRL kann nun auf Wunsch der Zeitraum der CRL-Gueltigkeit angegeben werden. Standardmaessig ist eine CRL 30 Tage lang gueltig. v1.3.1 - 31.01.2014 - stable ============================ * Konfiguration + /var/install/bin/certs-request-cert - Die Funktion 31.01.2014 zur Pruefung ob ein Remote-Port geoeffnet ist, wurde optimiert, sodass dies nun auch auf eisfair-2 funktionieren sollte. v1.3.0 - 26.01.2014 - stable ============================ * Konfiguration + /var/install/config.d/certs.sh - Es ist nun auch 16.01.2014 moeglich einen Cronjob fuer die Aktualisierung von CRLs zu aktivieren, wenn der Server keine CA hostet. + /var/install/bin/certs-request-cert - Durch Verwendung des 26.01.2014 Schalters 'imaptls' ist es nun auch moeglich ein Zertifikat mittels STARTTLS ueber den Port 143/tcp abzurufen. v1.2.9 - 02.01.2014 - stable ============================ * Konfiguration + /var/install/bin/certs-cert-key-matcher - Hilfe und 01.01.2014 Bildschirmausgaben verbessert. + /var/install/bin/certs-request-cert - Hilfe verbessert. + /var/install/bin/certs-show-chain - Falls ein Zertifikat abgelaufen ist und erneuert werden muss, wird dies nun angezeigt. + /var/install/bin/certs-show-chain - Es wird nun geprueft, ob auf das Zertifikatsverzeichnis und die Zertifikatsdateien zugegriffen werden kann, bevor die Zertifikatskette geprueft wird. + /var/install/bin/certs-show-chain - Es kann nun auf Wunsch der Name eines System-Users angegeben werden, unter welchem die Pruefung der Zertifikatskette ausgefuehrt werden soll. + /var/install/config.d/certs.sh - Die Besitz- und Eigentums- rechte der Zertifikate und Zertifikatswiderrufslisten werden nun standardmaessig auf root:root 0644 gesetzt. + /var/install/bin/certs-show-chain - Es wird nun auch der 02.01.2014 SHA1-Fingerabdruck eines Zertifikates ausgegeben, um Zertifikate verlaesslicher identifizieren zu koennen, da CAs durchaus unterschiedliche Root-Zertifikate mit dem selben Hash herausgeben koennen. Ein Beispiel hierfuer ist z.B. das 'Thawte Primary Root CA' mit Ablaufdatum 16.07.2036,welches durch das gleichnamige Zertifikat mit Ablaufdatum 30.12.2020 ersetzt werden sollte :-(. v1.2.8 - 27.12.2013 - stable ============================ * Konfiguration + /var/install/bin/certs-update-crl - Beim Abruf der CRLs 01.12.2013 werden nun eventuell angegebene Zertifikatsdateien ignoriert. (H.Bruenjes) + /var/install/bin/certs-recreate-index - Die Indexdatei wird 09.12.2013 nun korrekt erzeugt. (H.Bruenjes) + /var/install/bin/certs-request-cert - Vor dem Herunterladen eines Zertifikates wird ein eventuell existierendes, namensgleiches Zertifikat gesichert. (H.Bruenjes) + /var/install/bin/certs-update-crl - Das Skript wurde so 18.12.2013 ueberarbeitet, dass CRLs nun entsprechend dem angegebenen Aktualisierungsdatum automatisch aktualisiert werden. Hierdurch wird eine zeitnahe Aktualisierung sicher gestellt und den unterschiedlichen Aktualisierungsintervallen Rechnung getragen. + /usr/local/ssl/certs-update-crl-list.std - CRLs entfernt, 21.12.2013 welche nicht laenger verwendet bzw. aktualisiert werden. + /etc/check.d/certs, /etc/default.d/certs, /var/install/config.d/certs-update.sh, /var/install/config.d/certs.sh - Es wurden die Parameter CERTS_LOG_COUNT und CERTS_LOG_INTERVAL hinzugefuegt, um einstellen zu koennen wie haeufig erzeugte Logdateien rolliert werden sollen. + /var/install/bin/certs-request-cert - Falls ein herunter geladenes Zertifikat in einer Datei gespeichert werden soll, wird nun vorab geprueft, ob es sich um ein gueltiges Zertifikat handelt. Nur wenn dies der Fall ist, wird nun das Zielzertifikat ueberschrieben. (M.Roeckrath) + /var/install/bin/certs-request-cert - Mittels des Schalters '--norehash' ist es nun moeglich die automatische Aktualisierung der Hashes zu verhindern. (M.Roeckrath) + /var/install/menu/setup.services.certs.menu - Es wurde 27.12.2013 ein neuer Menuepunkt 'View Update revocation list(s)' hinzugefuegt, welcher es erlaubt die ueber den gleichnamigen Prozess erzeugte Logdatei einzusehen. + /var/install/bin/certs-update-crl - Bei den grundliegenden Skriptfunktionen werden nun Logmeldungen geschrieben, auch wenn nicht der --quiet-Modus aktiviert wurde. v1.2.7 - 30.11.2013 - stable ============================ * Konfiguration + /var/install/bin/certs-update-crl - Fehler bei der 16.10.2013 Handhabung von Dateinamen welche Leerzeichen enthalten behoben. (S.Jansen) + /var/install/bin/certs-update-crl - Fehler beim Kopieren 30.11.2013 der CRL-Dateien behoben. v1.2.6 - 24.08.2013 - stable ============================ * Konfiguration + /var/install/bin/certs-cert-key-matcher - Neues 06.01.2013 Skript hinzugefuegt welches es erlaubt heraus zu finden welcher Zertifikatsschluessel bzw. welche Zertfikats- anforderung zu welchem Zertifikat gehoert. + /var/install/bin/certs-cert-key-matcher, 24.08.2013 /var/install/bin/certs-recreate-index, /var/install/bin/certs-show-chain, /var/install/bin/certs-show-tls-certs, /var/install/bin/certs-update-crl - Die Handhabung von Dateinamen welche Leerzeichen enthalten wurde verbessert. (Y.Schumann) v1.2.5 - 03.11.2012 - stable ============================ * Konfiguration + /var/install/bin/certs-show-tls-certs - Fehler bei der 03.11.2012 Anzeige von Zertifikaten behoben. (R.Mische) v1.2.4 - 30.09.2012 - stable ============================ * Konfiguration + /var/install/packages/certs - inet-Paketabhaengigkeit 30.09.2012 entfernt. v1.2.3 - 11.12.2011 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Die CA-Funktionen 11.12.2011 werden nun deaktiviert, wenn der Parameter CERTS_CA_HOME nicht aktiviert wurde. v1.2.2 - 11.09.2011 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Bei Auswahl 18.02.2011 des Menuepunktes 12 'sign certificate request with CA key' wird nun abgefragt, ob zuvor die Zertifikatsdatenbank aktualisiert werden soll, um eventuellen Problemen mit bereits abgelaufenen Zertifikaten vorzubeugen. (M.Weiler) + /usr/bin/ssl/c_rehash - Fehler bei der Erstellung von 01.04.2011 crl-Hashes behoben. (S.Manske) + /var/install/bin/certs-create-tls-certs - Bei Auswahl 01.06.2011 des Menuepunktes 17 'send certificates via e-mail' wird nun versucht die Empfaengeradresse aus dem Zertifikat zu lesen. + /var/install/bin/certs-request-cert - Mittels des Schalters 17.06.2011 '-replace' wird nun geprueft, ob ein Zertifikat bereits existiert und gegebenenfalls vor einer Aktualisierung gesichert. + /var/install/bin/certs-download-ca-bundle - Den Namen 11.09.2011 der standardmaessig zu ladenden Root-Zertifikatssammlung aktualisiert. v1.2.1 - 06.03.2011 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Bei Auswahl 05.02.2011 des Menuepunktes 17 'send certificates via mail' werden nun keine Debugmeldungen mehr ausgegeben. + /usr/bin/ssl/c_hash, /usr/bin/ssl/c_rehash - Skripte 06.03.2011 angepasst, sodass Hashes sowohl fuer OpenSSL < v0.9.8 als auch fuer OpenSSL >= v0.9.8 angelegt werden. Dies stellt sicher, dass auch Programme die gegen eine aeltere libssl- Version gelinkt wurden noch Zertifikate korrekt pruefen koennen. (A.Friedland) v1.2.0 - 30.01.2011 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Es ist nun 21.12.2010 moeglich, nach expliziter Bestaetigung, ein neues CA-Zertifikat zu generieren. + /var/install/bin/certs-create-tls-certs - Es wird nun 23.12.2010 im Hauptmenue angezeigt wie lange ein CA-Zertifikat noch gueltig ist. v1.1.9 - 18.10.2010 - stable ============================ * Menues + Neuen Menuepunkt 'Show certificate chain' hinzugefuegt. 18.10.2010 * Konfiguration + /var/install/bin/certs-show-chain, 18.10.2010 + /var/install/bin/certs-show-tls-certs - Funktion zur Anzeige der Zertifikatskette hinzugefuegt. + /var/install/bin/certs-create-tls-certs - Fehler 'value out of 'range' im batch-Modus beseitigt. (S.Rudolph) + /var/install/bin/certs-show-tls-certs - Es wird nun das erste Zertifikat korrekt angezeigt auch nachdem einmal Zertifikatsdetails angezeigt wurden. (M.Roeckrath) v1.1.8 - 16.10.2010 - stable ============================ * Konfiguration + /var/install/bin/certs-download-ca-bundle - Fehler beim 04.10.2010 Laden der Konfigurationsdatei behoben. (S.Manske) + /var/install/bin/certs-create-tls-certs - Pruefung der 16.10.2010 Werteeingabe bei der Schluesselauswahl korrigiert. (S.Rudolph) v1.1.7 - 03.10.2010 - stable ============================ * Konfiguration + eisfair-2: Bei der Installation wird nun sicher gestellt, 03.10.2010 dass korrekt auf das Zertifikatsrepository verwiesen wird. v1.1.6 - 02.10.2010 - stable ============================ * Konfiguration + /var/install/bin/certs-create-tls-certs - Die Menueeintraege 26.08.2010 1 und 2 wurden umbenannt, um die Verstaendlichkeit zu verbessern. + /var/install/bin/certs-create-tls-certs - Beim Menueeintrag 2 ist es nun moeglich vorhandene Menueeintraege auszuwaehlen. + /var/install/bin/certs-download-ca-bundle - Neue Skript zum 27.08.2010 Herunterladen einer CA-Zertifikatssammlung hinzugefuegt. (H.Bruenjes) + /var/install/bin/certs-show-tls-certs - Die Anzeige der 29.08.2010 verschiedenen Listen wurde ueberarbeitet um auch eine groessere Anzahl von Eintraegen besser darstellen zu koennen. + /var/install/config.d/update-certs.sh - Der neue optionale 02.10.2010 Parameter CERTS_CA_BUNDLE_URL erlaubt die Konfiguration einer eigenen URL fuer das Herunterladen des CA-Bundles. * Menues + Neuen Menuepunkt 'Download ca certificate bundle' hinzugefuegt. 27.08.2010 v1.1.5 - 01.07.2010 - stable ============================ * Konfiguration + /var/install/bin/certs-request-cert - Beim Abruf eines 01.07.2010 Zertifikats wird nun der CA-Verzeichnispfad mit uebergeben, sodass die Pruefung der Zertifikatskette nun korrekt durchgefuehrt werden kann. v1.1.4 - 13.05.2010 - stable ============================ * Konfiguration + /tmp/install.sh - Fehler bei der Verzeichnispruefung behoben. 13.05.2010 (J.Witt) v1.1.3 - 10.03.2010 - stable ============================ * Konfiguration + /tmp/install.sh - Symbolischer Link wird nun korrekt erzeugt. 10.03.2010 (T.Kaestel) v1.1.2 - 17.02.2010 - stable ============================ * Konfiguration + /var/install/bin/certs-update-crl - Falls eine CRL im 24.12.2009 PEM-Format vorliegt, wird dieses nun auch korrekt kopiert. (G.Walter) + /var/install/config.d/update-certs.sh - Bei einem Paketupdate 31.01.2010 wird nun auch die Variable CERTS_UNIQUE_SUBJECT korrekt vorbelegt. + eisfair-2: Die Daten werden nun standardmaessig im Verzeichnis 17.02.2010 /data/packages/certs abgelegt. v1.1.1 - 08.11.2009 - stable ============================ * Konfiguration + /var/install/bin/certs-show-tls-certs - Die Zertifikatdetails 24.10.2009 werden nun mit Hilfe der Standardfunktion /var/install/bin/doc ausgegeben um so vim-Fehlermeldungen bei der Anzeige zu vermeiden. (A.Puester) + /var/install/deinstall/certs - Der Menueeintrag wird nun bei einer Paketaktualisierung nicht mehr entfernt. + /var/install/config.d/certs.sh - Ueber den Parameter 08.11.2009 CERTS_UNIQUE_SUBJECT kann nun optional festgelegt werden, ob nur eindeutige Zertifikatbetreffs erlaubt sind oder nicht. (H.D.Oezbilen) v1.1.0 - 05.08.2009 - stable ============================ * Konfiguration + /tmp/install.sh - Verzeichnispruefung bei der Installation 06.05.2009 verbessert. v1.0.15 - 28.04.2009 - testing ============================== * Dokumentation + Fehlerhaftes MD5-Fingerprint Beispiel korrigiert. 28.04.2008 (M.Roeckrath) v1.0.14 - 25.03.2009 - testing ============================== * Konfiguration + Anpassungen fuer die eisfair-2 Unterstuetzung durchgefuehrt. 25.03.2009 v1.0.13 - 01.01.2009 - testing ============================== * Konfiguration + Nach einem erfolgreichen Angriff auf das SSL-Zertifikatsystem 01.01.2009 wurde entsprechend der Empfehlung in der Datei openssl.cnf die Standardeinstellung des Parameters default_md von 'mdh5' auf 'sha1' umgestellt. v1.0.12 - 10.11.2008 - testing ============================== * Skripte + /var/install/bin/certs-update-crl-uri - Falls in der apache2- 10.10.2008 bzw. certs-Konfigurationsdatei ein abweichender HTTP-Port konfiguriert wurde, wird dieser nun auch in die OpenSSL-Datei uebernommen. (H.D.Oezbilen) v1.0.11 - 06.09.2008 - testing ============================== * CRL-Liste + /usr/local/ssl/certs-update-crl-lists - URL der CAcert von 04.08.2008 http://crl.cacert.org/revoke.crl in http://www.cacert.org/revoke.crl geaendert. * Skripte + /var/install/bin/certs-show-tls-certs - Es wird nun explizit 20.01.2008 der Pfad zur OpenSSL-Konfigurationsdatei gesetzt. (O.Jaehrling) + /var/install/bin/certs-show-tls-certs - Es wird nun sicher 23.01.2008 gestellt, dass die PAGER-Variable gesetzt ist. (O.Jaehrling) + /var/install/bin/certs-update-crl - Mittels des Switches 08.02.2008 '-grepuri' koennen nun automatisch die CRL-URI der bereits vorhandenen Zertifikate ausgelesen und zur CRL-Liste hinzugefuegt werden. + /var/install/bin/certs-create-tls-certs - Fehler bei der 26.02.2008 Berechnung der Zertifikatslaufzeit behoben welcher dazu fuehrte dass eine Laufzeit von einem Tag berechnet wurde, wenn die Standardlaufzeit ausgewaehlt wurde. (A.Dahl) + /tmp/preinstall.sh - Es wird nun geprueft ob das perl-Paket 17.08.2008 installiert ist bevor die Installation begonnen wird. v1.0.10 - 07.01.2008 - testing ============================== * Menues + Neuen Menuepunkt 'Show certificate details' hinzugefuegt. 18.10.2007 + Neuen Menuepunkt 'Download revocation list(s)' hinzugefuegt. + Neuen Menuepunkt 'Update OpenSSL configuration' hinzugefuegt. 11.11.2007 + Neuen Menuepunkt 'Show csr details' hinzugefuegt. 18.11.2007 + Neuen Menuepunkt 'Show crl details' hinzugefuegt. + Neuen Menuepunkt 'Edit configuration' hinzugefuegt. 22.12.2007 * Konfiguration + Das SSL-Datenverzeichnis wird nun standardmaessig in /var/certs 09.12.2007 abgelegt und dann mittels eines symbolischen Links zum Ursprungsverzeichnis /usr/local/ssl verlinkt. * Skripte + /var/install/bin/certs-create-tls-certs - Es ist nun moeglich 18.05.2007 per Kommandozeilenoption direkt die CRL-Aktualisierungsfunktion anzuwaehlen. + /var/install/bin/certs-create-tls-certs - Beim Anlegen oder 28.05.2007 Aktualisieren der CRL werden nun auch die Hashes aktualisiert. (A.Behrends) + /var/install/bin/certs-show-tls-certs - Funktion zur Anzeige 18.10.2007 von Zertifikatdetails hinzugefuegt. + /var/install/bin/certs-update-crl - Neues Skript zum Laden von 10.11.2007 CRLs hinzugefuegt. + var/install/bin/certs-update-crl-uri - Neues Skript zum 11.11.2007 Aktualisieren der URLs in der OpenSSL Konfiguration hinzugefuegt. + /var/install/bin/certs-update-crl - Es wird nun der Hostname 19.11.2007 dem CRL-Dateinamen vorangestellt. + /var/install/bin/certs-create-tls-certs - Beim Versenden eines 09.12.2007 Zertifikates per Mail wird es nun zusaetzlich auch im PEM-Format verschickt. + /var/install/bin/certs-create-tls-certs - Beim Unterzeichnen 16.12.2007 von Zertifikatsanfragen ist es nun optional moeglich ein Startdatum und einen Gueltigkeitszeitraum einzugeben. + /var/install/bin/certs-create-tls-certs - Es ist nun moeglich 22.12.2007 ueber eine eigene Konfigurationsdatei die automatisierte Aktualisierung der CRLs zu konfigurieren. Hierzu wurden die Parameter CERTS_CRL_CRON und CERTS_CRL_CRON_SCHEDULE geschaffen. + var/install/bin/certs-update-crl-uri - Ueber den Parameter CERTS_WEBSERVER_NAME kann nun optional der standardmaessig verwendete Wert des APACHE2_SERVER_NAME-Parameters ueberschrieben werden. + /var/install/bin/certs-create-tls-certs - Beim Widerruf eines Zertifikates ist nun die Auswahl eines Widerrufgrundes moeglich. v1.0.7 - 21.01.2007 - stable ============================ * Skripte + /var/install/bin/certs-create-tls-certs - Fehlerhafte 26.10.2006 Generierung eines Datums behoben. + /var/install/bin/certs-create-tls-certs - Fehlermeldung beim 30.12.2006 Kopieren eines Zertifikats (Funktion 14) behoben, wenn keine .key-Datei existierte. + /var/install/bin/certs-create-tls-certs - Beim Widerruf eines 03.01.2007 Zertifikates werden nun die Hashes auch aktualisiert. + /var/install/bin/certs-request-cert - Neues Skript hinzugefuegt, welches es erlaubt ein Zertifikat von einem Server abzurufen. + /var/install/bin/certs-create-tls-certs - Beim Widerruf eines Zertifikats wird nun auch eine eventuell existierende PKCR#12- Datei verschoben. + /var/install/bin/certs-create-tls-certs - Es ist nun bei der 04.01.2007 Generierung eines Client-Zertifikats moeglich zwischen der Nutzereigenschaft 'Server' bzw. 'User' (email) zu waehlen. (T.Schubert) + /var/install/bin/certs-create-tls-certs - Es ist nun auch bei 21.01.2007 Auswahl 'ca' moeglich sich diese direkt per Mail zusenden zu lassen. * Dokumentation + Den Absatz 'Zertifikat aktualisieren' ergaenzt. 03.01.2007 v1.0.6 - 29.09.2006 - stable ============================ * Skripte + /var/install/bin/certs-create-tls-certs - Unterstuetzung fuer 30.05.2005 einen alternativen Schluesselnamen zur Funktion 'create_pksc_doc' hinzugefuegt. + /var/install/bin/certs-create-tls-certs - Ein eventuell 26.10.2005 existierendes Zertifikat wird nun nach .../certs/old kopiert bevor ein neues Zertifikat erstellt wird. + /usr/bin/openssl - Das openssl-Programm ist nun nicht mehr 29.09.2006 Bestandteil des certs-Paketes sondern des libssl-Paketes. v1.0.5 - 29.05.2005 - stable ============================ * Programme + OpenSSL Komponenten aus dem inet-Paket uebernommen: 19.05.2005 - /usr/bin/openssl - OpenSSL 0.9.7g 11 Apr 2005 - /usr/bin/ssl/c89.sh, c_hash, c_info, c_issuer, c_name, c_rehash * Skripte + /var/install/deinstall/certs - Die OpenSSL Komponenten werden 29.05.2005 nun nicht mehr entfernt, wenn ein inet-Paket < v1.5.4 vorgefunden wird. * Menues + Umstellung auf das neue XML-Menueformat. 19.05.2005 - Obsolete Menueskriptdateien entfernt. v1.0.4 - 26.12.2004 - stable ============================ * Konfiguration + In der Datei openssl.cnf wurde fuer die Gruppe 'Server_CA' der 31.05.2004 fehlende Parameter 'unique_subject = yes' hinzugefuegt. (R.Mische) + mecho wird nun fuer die Bildschirmausgabe verwendet. 15.08.2004 + In den Funktionen copy_cert und show_cert wurde die 31.10.2004 Unterstuetzung fuer alternative Schluessel hinzugefuegt. + Scripte auf eislib-Funktionen umgestellt. v1.0.3 - 21.05.2004 - stable ============================ * Konfiguration + Wird die Frage "Do you want to create a new key or select an 18.10.2003 existing key (n/e)?" mit einer ungueltigen Auswahl beantwortet, so wird die Frage nun wiederholt und nicht mehr ins Hauptmenue zurueckgesprungen. (F.Wolter) + Es ist nun moeglich bei Anwahl eines mail-Zertifikates den 16.04.2004 Namen des Zertifikates zu aendern. + Einige 'fest verdrahteten' Zertifikatsnamen wurden durch die entsprechenden Variablen ersetzt. + Die Datei openssl.cnf wurde so modifiziert, dass ein Server- Zertifikat nun auch zum 'keyAgreement' genutzt werden kann. Hierdurch sollte ein Exim-SSL-Fehler behoben sein. + Es ist nun moeglich im batch-Betrieb bei der Generierung eines 19.04.2004 web-Zertifikates den Servernamen als Parameter zu uebergeben. + Beim Verschicken von Zertifikaten werden diese nun als 16.05.2004 uuencoded-Anhang verschickt. v1.0.2 - 22.09.2003 - stable ============================ * Konfiguration + Diverse Testpfadangaben aus den Dateien entfernt. 22.09.2003 (M.Muehlenhoff) v1.0.1 - 14.09.2003 =================== * Konfiguration + Fehler in den Pfadangaben in der Datei 'openssl.cnf' 06.09.2003 korrigiert. + Die Dateien 'index.txt' und 'serial' sind nun nicht mehr 07.09.2003 im Paket enthalten, damit existierende Dateien nicht ueberschrieben werden. * Script + Das Script 'certs-create-tls-certs' ueberarbeitet und um 06.09.2003 zusaetzliche Kommandozeilenparameter ergaenzt, sodass es nun moeglich ist ein Zertifikat automatisiert zu erstellen. + Neues Script 'certs-recreate-index' hinzugefuegt, welches es ermoeglicht die index.txt Datei im NOTFALL zu generieren. + Neuen Menuepunkt eingefuegt 'revoke a certificate' ueber den 07.09.2003 es moeglich ist ein Zertifikat zu widerrufen. + Es ist nun moeglich eine alternative, bereits existierende, Key-Datei auszuwaehlen. Dies ist sinnvoll, wenn auf einem Rechner mehrere unterschiedliche Zertifikate benoetigt werden. + Neuen Menuepunkt eingefuegt 'update revocation list' ueber den 08.09.2003 es moeglich ist die Widerrufsliste zu aktualisieren. + Die Script-Ausfuehrung im batch-Betrieb optimiert und einige 09.09.2003 Fehler beseitigt. + Die Datei openssl.cnf modifiziert und um default-Werte 14.09.2003 ergaenzt. * Dokumentation + Den Absatz 'Verschiedenes' ergaenzt. v1.0.0 - 03.09.2003 =================== * Konfiguration + 'Create TLS certificates' unterstuetzt nun auch die 01.06.2003 Generierung von Apache-Zertifikaten. + Fehler in der Funktion 'display_certs_dates' behoben, welcher dazu fuehrte, dass es nicht moeglich war symbolisch gelinkte Dateien zu pruefen.