openssl

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
openssl [08/04/2025 - 09:43] – [Konvertierung von PEM nach DER] adminopenssl [08/04/2025 - 09:47] (aktuell) admin
Zeile 1: Zeile 1:
 ====== OPENSSL ====== ====== OPENSSL ======
 +
 +Dokumentation zu openssl siehe [[http://www.openssl.org/docs/|http://www.openssl.org/docs/]]
  
 ===== Schlüssel mit elliptic curve ===== ===== Schlüssel mit elliptic curve =====
Zeile 58: Zeile 60:
 <code> <code>
 openssl req -new -key radius_rsa.key -out radius.xdc.dev.gspp-eu.corpinter.net_rsa.csr -config openssl.cnf openssl req -new -key radius_rsa.key -out radius.xdc.dev.gspp-eu.corpinter.net_rsa.csr -config openssl.cnf
- 
 </code> </code>
  
Zeile 93: Zeile 94:
  
 </code> </code>
- 
-===== Check: Passen ein key und ein signiertes cert zusammen? ===== 
- 
-Replace <public.crt> with the filename of the public certificate. 
- 
-<code> 
-openssl x509 -noout -modulus -in <public.crt> | openssl md5> /tmp/crt.pub 
- 
-openssl rsa -noout -modulus -in <private.key> | openssl md5> /tmp/key.pub 
- 
-</code> 
- 
-Danach ein diff der beiden Dateien: 
-<code> 
- 
-diff /tmp/crt.pub /tmp/key.pub 
- 
-</code> 
- 
-If nothing is printed to the console, they were found to be a pair. Any differences are printed to the console in detail. 
  
 ===== Check: Inhalte kontrollieren ===== ===== Check: Inhalte kontrollieren =====
Zeile 120: Zeile 101:
 <code> <code>
 openssl x509 -text -noout -in ca.crt openssl x509 -text -noout -in ca.crt
 +</code>
  
 +<code>
 openssl req -text -noout -verify -in csr.pem openssl req -text -noout -verify -in csr.pem
- 
 </code> </code>
-===== Revocation list ===== 
  
-xx+===== Check: Passen ein key und ein signiertes cert zusammen? =====
  
-===== Test einer ssl Verbindung mit openssl s_client =====+Replace <public.crt> with the filename of the public certificate.
  
-Das Standard-Tool für die Analyse von SSL-Funktionen ist das Kommandozeilenprogramm von OpenSSL. 
- 
-https://docs.openssl.org/1.0.2/man1/s_client/ 
 <code> <code>
-openssl s_client -connect imap.1und1.de:993 +openssl x509 -noout -modulus -in <public.crt> | openssl md5> /tmp/crt.pub
 </code> </code>
  
-Kommt als Ergebnis eine Ciphersuite heraus, die mit DH oder ECDH beginnt, haben sich die beiden Kommunikationspartner auf **Forward Secrecy **geeinigt. Ob ein Server überhaupt Forward Secrecy beherrscht, verrät: 
 <code> <code>
-openssl s_client -cipher 'ECDH:DH' -connect login.live.com:443 +openssl rsa -noout -modulus -in <private.key> | openssl md5> /tmp/key.pub
 </code> </code>
  
-Ob ein Server Diffie-Hellman erzwingt, auch wenn der Client RSA bevorzugt, verrät die cipher-Spezifikation 'RSA:ECDH:DH'. OpenSSL unterstützt auch Verbindungen, bei denen man die Verschlüsselung über den starttls anfordern muss, wie es etwa im Mail-Versandprotokoll SMTP üblich ist:+Danach ein diff der beiden Dateien:
  
 <code> <code>
-openssl s_client -starttls smtp -connect smtp.gmx.net:587 +diff /tmp/crt.pub /tmp/key.pub
 </code> </code>
  
-Dokumentation zu openssl siehe auch [[http://www.openssl.org/docs/|http://www.openssl.org/docs/]]+Wenn sich im diff nichts unerscheidet, passen sie zusammen.
  
 ===== Zufalls-Passwort generieren ===== ===== Zufalls-Passwort generieren =====
Zeile 157: Zeile 131:
 <code> <code>
 openssl rand -base64 openssl rand -base64
- 
 </code> </code>
  
Zeile 307: Zeile 280:
 Zeritifkate konvertieren nur privatebn Schlüssel extrahieren # openssl pkcs12 -in filename.pfx -nocerts -out key.pem Zertifikat exportieren # openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem Diffie hellman Parameter erzeugen openssl dhparam -out dhparams.pem 4096 Zeritifkate konvertieren nur privatebn Schlüssel extrahieren # openssl pkcs12 -in filename.pfx -nocerts -out key.pem Zertifikat exportieren # openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem Diffie hellman Parameter erzeugen openssl dhparam -out dhparams.pem 4096
  
 +===== Revocation list =====
 +
 +xx
 +
 +===== Test einer ssl Verbindung mit openssl s_client =====
 +
 +Das Standard-Tool für die Analyse von SSL-Funktionen ist das Kommandozeilenprogramm von OpenSSL. Siehe https://docs.openssl.org/1.0.2/man1/s_client/
 +
 +<code>
 +openssl s_client -connect imap.1und1.de:993
 +</code>
 +
 +Kommt als Ergebnis eine Ciphersuite heraus, die mit DH oder ECDH beginnt, haben sich die beiden Kommunikationspartner auf **Forward Secrecy **geeinigt. Ob ein Server überhaupt Forward Secrecy beherrscht, verrät:
 +
 +<code>
 +openssl s_client -cipher 'ECDH:DH' -connect login.live.com:443
 +</code>
 +
 +Ob ein Server Diffie-Hellman erzwingt, auch wenn der Client RSA bevorzugt, verrät die cipher-Spezifikation 'RSA:ECDH:DH'. OpenSSL unterstützt auch Verbindungen, bei denen man die Verschlüsselung über den starttls anfordern muss, wie es etwa im Mail-Versandprotokoll SMTP üblich ist:
 +
 +<code>
 +openssl s_client -starttls smtp -connect smtp.gmx.net:587
 +</code>
  
  • openssl.txt
  • Zuletzt geändert: 08/04/2025 - 09:47
  • von admin