home *** CD-ROM | disk | FTP | other *** search
/ Personal Computer World 2009 February / PCWFEB09.iso / Software / Linux / Kubuntu 8.10 / kubuntu-8.10-desktop-i386.iso / casper / filesystem.squashfs / usr / share / doc / openssl / README.Debian < prev    next >
Encoding:
Text File  |  2008-07-25  |  2.2 KB  |  68 lines
  1. openssl for DEBIAN
  2. ----------------------
  3.  
  4. openssl replaces ssleay.
  5.  
  6. The application links to openssl like req, ca, verify and s_client
  7. have been removed.
  8.  
  9. Instead of `<application>` please call now `openssl <application>`
  10.  
  11. eg: 
  12. instead of `req` please call `openssl req`
  13.  
  14.  
  15. PATENT ISSUES
  16. -------------
  17.  
  18. Some algorithms used in the library are covered by patents.  As
  19. a result, the following algorithms in libcrypto have been disabled:
  20. - RC5
  21. - MDC2
  22. - IDEA
  23.  
  24. Also see the patents section in the README file.
  25.  
  26.  
  27. Self-signed certs and webservers:
  28. ---------------------------------
  29.  
  30. If you get with a selfsigned certificate and a webserver:
  31.  > "The certificate is not approved for the attempted operation."
  32.  
  33. Bodo_Moeller@public.uni-hamburg.de (Bodo Moeller) writes:
  34. >Probably you are using a CA certificate for your server; if you use
  35. >"openssl req" to generate a new key and self-signed certificate with
  36. >the default openssl.cnf, the certificate you get includes certain
  37. >X.509v3 extensions that make it unfit for use as a server certificate.
  38. >This was not so with earlier versions of the software because back
  39. >then there was far less X.509v3 support.
  40. >
  41. >To look at the certificate some HTTPS server presents to its cliens,
  42. >use "openssl s_client -port 443 -host your.server", store the output
  43. >(at least the part from "-----BEGIN CERTIFICATE-----" up to "-----END
  44. >CERTIFICATE-----", including these separators) in a file and use
  45. >"openssl x509 -in the_file_you_just_stored -text" to look at it in
  46. >readable form.  If it has in the "X509v3 extensions section" any of
  47. >the following entries, it is not usable as a server certificate:
  48. >
  49. >            X509v3 Basic Constraints:
  50. >                CA:TRUE
  51. >
  52. >            X509v3 Key Usage:
  53. >                Certificate Sign, CRL Sign
  54. >
  55. >To quickly create a new server key and certificate that works with
  56. >Netscape, you can just copy the original openssl.cnf file and comment
  57. >out the "x509_extensions" entry in the "[ req ]" section.
  58. >The, use "openssl req ..." as before to create a new certificate and
  59. >key.
  60.  
  61.  
  62. Christoph Martin <martin@uni-mainz.de>, Wed, 31 Mar 1999 16:00:51 +0200
  63.  
  64. In Ubuntu, SSLv2 (older, considered insecure, version of SSL) is disabled
  65. by default.
  66.  
  67. Ante Karamatic <ivoks@ubuntu.com>, Thu 24 Jul 2008 12:43:15 +0200
  68.