← Back to branch summary

~ubuntu-branches/ubuntu/utopic/gridengine/utopic

« back to all changes in this revision

Viewing changes to source/dist/util/sgeCA/sge_ssl.cnf

  • Committer: Bazaar Package Importer
  • Author(s): Mark Hymers
  • Date: 2008-06-25 22:36:13 UTC
  • Revision ID: james.westby@ubuntu.com-20080625223613-tvd9xlhuoct9kyhm
Tags: upstream-6.2~beta2
ImportĀ upstreamĀ versionĀ 6.2~beta2

Show diffs side-by-side

added added

removed removed

Lines of Context:
source/dist/util/sgeCA/sge_ssl.cnf
 
1
#
 
2
# OpenSSL example configuration file.
 
3
# This is mostly being used for generation of certificate requests.
 
4
#
 
5
 
 
6
# This definition stops the following lines choking if HOME isn't
 
7
# defined.
 
8
#HOME                    = $ENV::SGE_ROOT/default
 
9
#RANDFILE                = $ENV::HOME/.rnd
 
10
#CACELL                   = $ENV::SGE_CELL
 
11
CATOP                    = $ENV::CATOP
 
12
 
 
13
# Extra OBJECT IDENTIFIER info:
 
14
#oid_file                = $ENV::HOME/.oid
 
15
oid_section              = new_oids
 
16
 
 
17
# To use this configuration file with the "-extfile" option of the
 
18
# "openssl x509" utility, name here the section containing the
 
19
# X.509v3 extensions to use:
 
20
# extensions                = 
 
21
# (Alternatively, use a configuration file that has only
 
22
# X.509v3 extensions in its main [= default] section.)
 
23
 
 
24
[ new_oids ]
 
25
 
 
26
# We can add new OIDs in here for use by 'ca' and 'req'.
 
27
# Add a simple OID like this:
 
28
# testoid1=1.2.3.4
 
29
# Or use config file substitution like this:
 
30
# testoid2=${testoid1}.5.6
 
31
 
 
32
####################################################################
 
33
[ ca ]
 
34
default_ca        = CA_default                # The default ca section
 
35
 
 
36
####################################################################
 
37
[ CA_default ]
 
38
 
 
39
dir                  = $CATOP                  # Where everything is kept
 
40
certs                = $dir/certs               # Where the issued certs are kept
 
41
crl_dir              = $dir/crl                 # Where the issued crl are kept
 
42
database             = $dir/index.txt           # database index file.
 
43
new_certs_dir        = $dir/newcerts            # default place for new certs.
 
44
 
 
45
certificate          = $dir/cacert.pem          # The CA certificate
 
46
serial               = $dir/serial              # The current serial number
 
47
crl                  = $dir/crl.pem             # The current CRL
 
48
private_key          = $dir/private/cakey.pem   # The private key
 
49
RANDFILE             = $dir/private/.rand       # private random number file
 
50
 
 
51
x509_extensions      = usr_cert                 # The extentions to add to the cert
 
52
 
 
53
# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
 
54
# so this is commented out by default to leave a V1 CRL.
 
55
# crl_extensions     = crl_ext
 
56
 
 
57
default_days         = 365                      # how long to certify for
 
58
default_crl_days     = 30                       # how long before next CRL
 
59
default_md           = md5                      # which md to use.
 
60
preserve             = no                       # keep passed DN ordering
 
61
 
 
62
# A few difference way of specifying how similar the request should look
 
63
# For type CA, the listed attributes must be the same, and the optional
 
64
# and supplied fields are just that :-)
 
65
policy               = policy_match
 
66
 
 
67
# For the CA policy
 
68
[ policy_match ]
 
69
countryName             = match
 
70
stateOrProvinceName     = match
 
71
organizationName        = match
 
72
organizationalUnitName  = optional
 
73
commonName              = supplied
 
74
userId                  = supplied
 
75
emailAddress            = optional
 
76
 
 
77
# For the 'anything' policy
 
78
# At this point in time, you must list all acceptable 'object'
 
79
# types.
 
80
[ policy_anything ]
 
81
countryName             = optional
 
82
stateOrProvinceName     = optional
 
83
localityName            = optional
 
84
organizationName        = optional
 
85
organizationalUnitName  = optional
 
86
commonName              = supplied
 
87
emailAddress            = optional
 
88
 
 
89
####################################################################
 
90
[ req ]
 
91
default_bits            = 1024
 
92
default_keyfile         = privkey.pem
 
93
distinguished_name      = req_distinguished_name
 
94
#attributes              = req_attributes
 
95
x509_extensions         = v3_ca        # The extentions to add to the self signed cert
 
96
prompt                  = yes
 
97
 
 
98
# Passwords for private keys if not present they will be prompted for
 
99
# input_password = secret
 
100
# output_password = secret
 
101
 
 
102
# This sets a mask for permitted string types. There are several options. 
 
103
# default: PrintableString, T61String, BMPString.
 
104
# pkix         : PrintableString, BMPString.
 
105
# utf8only: only UTF8Strings.
 
106
# nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).
 
107
# MASK:XXXX a literal mask value.
 
108
# WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings
 
109
# so use this option with caution!
 
110
string_mask = nombstr
 
111
 
 
112
req_extensions = v3_req # The extensions to add to a certificate request
 
113
 
 
114
[ req_distinguished_name ]
 
115
countryName                         = Country Name (2 letter code)
 
116
countryName_default                 = DE
 
117
countryName_min                     = 2
 
118
countryName_max                     = 2
 
119
 
 
120
stateOrProvinceName                 = State or Province Name (full name)
 
121
stateOrProvinceName_default         = Bavaria
 
122
 
 
123
localityName                        = Locality Name (eg, city)
 
124
localityName_default                = Regensburg
 
125
 
 
126
0.organizationName                  = Organization Name (eg, company)
 
127
0.organizationName_default          = Sun Microsystems
 
128
 
 
129
# we can do this but it is not needed normally :-)
 
130
#1.organizationName                 = Second Organization Name (eg, company)
 
131
#1.organizationName_default         = World Wide Web Pty Ltd
 
132
 
 
133
organizationalUnitName              = Organizational Unit Name (eg, section)
 
134
organizationalUnitName_default      = Gridware
 
135
 
 
136
commonName                          = Common Name (eg, YOUR name)
 
137
commonName_max                      = 64
 
138
 
 
139
userId                              = UID
 
140
userId_max                          = 64
 
141
 
 
142
emailAddress                        = Email Address
 
143
emailAddress_max                    = 40
 
144
 
 
145
#[ req_distinguished_name ]
 
146
#C              = DE
 
147
#ST             = Bavaria
 
148
#L              = Regensburg
 
149
#O              = Sun Microsystems
 
150
#OU             = Gridware
 
151
#CN             = CommonName
 
152
#emailAddress   = EMAIL
 
153
 
 
154
# SET-ex3                        = SET extension number 3
 
155
 
 
156
[ req_attributes ]
 
157
challengePassword                   = A challenge password
 
158
challengePassword_min               = 4
 
159
challengePassword_max               = 20
 
160
 
 
161
unstructuredName                    = An optional company name
 
162
 
 
163
[ usr_cert ]
 
164
 
 
165
# These extensions are added when 'ca' signs a request.
 
166
 
 
167
# This goes against PKIX guidelines but some CAs do it and some software
 
168
# requires this to avoid interpreting an end user certificate as a CA.
 
169
 
 
170
basicConstraints=CA:FALSE
 
171
 
 
172
# Here are some examples of the usage of nsCertType. If it is omitted
 
173
# the certificate can be used for anything *except* object signing.
 
174
 
 
175
# This is OK for an SSL server.
 
176
# nsCertType                        = server
 
177
 
 
178
# For an object signing certificate this would be used.
 
179
# nsCertType = objsign
 
180
 
 
181
# For normal client use this is typical
 
182
# nsCertType = client, email
 
183
 
 
184
# and for everything including object signing:
 
185
# nsCertType = client, email, objsign
 
186
 
 
187
# This is typical in keyUsage for a client certificate.
 
188
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment
 
189
 
 
190
# This will be displayed in Netscape's comment listbox.
 
191
nsComment                        = "OpenSSL Generated Certificate"
 
192
 
 
193
# PKIX recommendations harmless if included in all certificates.
 
194
subjectKeyIdentifier=hash
 
195
authorityKeyIdentifier=keyid,issuer:always
 
196
 
 
197
# This stuff is for subjectAltName and issuerAltname.
 
198
# Import the email address.
 
199
# subjectAltName=email:copy
 
200
 
 
201
# Copy subject details
 
202
# issuerAltName=issuer:copy
 
203
 
 
204
#nsCaRevocationUrl                = http://www.domain.dom/ca-crl.pem
 
205
#nsBaseUrl
 
206
#nsRevocationUrl
 
207
#nsRenewalUrl
 
208
#nsCaPolicyUrl
 
209
#nsSslServerName
 
210
 
 
211
[ v3_req ]
 
212
 
 
213
# Extensions to add to a certificate request
 
214
 
 
215
basicConstraints = CA:FALSE
 
216
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
 
217
 
 
218
[ v3_ca ]
 
219
 
 
220
 
 
221
# Extensions for a typical CA
 
222
 
 
223
 
 
224
# PKIX recommendation.
 
225
 
 
226
subjectKeyIdentifier=hash
 
227
 
 
228
authorityKeyIdentifier=keyid:always,issuer:always
 
229
 
 
230
# This is what PKIX recommends but some broken software chokes on critical
 
231
# extensions.
 
232
#basicConstraints = critical,CA:true
 
233
# So we do this instead.
 
234
basicConstraints = CA:true
 
235
 
 
236
# Key usage: this is typical for a CA certificate. However since it will
 
237
# prevent it being used as an test self-signed certificate it is best
 
238
# left out by default.
 
239
# keyUsage = cRLSign, keyCertSign
 
240
 
 
241
# Some might want this also
 
242
# nsCertType = sslCA, emailCA
 
243
 
 
244
# Include email address in subject alt name: another PKIX recommendation
 
245
# subjectAltName=email:copy
 
246
# Copy issuer details
 
247
# issuerAltName=issuer:copy
 
248
 
 
249
# DER hex encoding of an extension: beware experts only!
 
250
# obj=DER:02:03
 
251
# Where 'obj' is a standard or added object
 
252
# You can even override a supported extension:
 
253
# basicConstraints= critical, DER:30:03:01:01:FF
 
254
 
 
255
[ crl_ext ]
 
256
 
 
257
# CRL extensions.
 
258
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
 
259
 
 
260
# issuerAltName=issuer:copy
 
261
authorityKeyIdentifier=keyid:always,issuer:always