Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
openssl [16/08/2024 - 15:49] – admin | openssl [06/09/2024 - 07:30] (aktuell) – [Test einer ssl Verbindung mit openssl s_client] admin1 | ||
---|---|---|---|
Zeile 94: | Zeile 94: | ||
===== Check: Passen ein key und ein signiertes cert zusammen? ===== | ===== Check: Passen ein key und ein signiertes cert zusammen? ===== | ||
+ | |||
+ | Replace < | ||
+ | |||
+ | < | ||
+ | openssl x509 -noout -modulus -in < | ||
+ | |||
+ | openssl rsa -noout -modulus -in < | ||
+ | |||
+ | </ | ||
+ | |||
+ | Danach ein diff der beiden Dateien: | ||
+ | < | ||
+ | |||
+ | diff / | ||
+ | |||
+ | </ | ||
+ | |||
+ | If nothing is printed to the console, they were found to be a pair. Any differences are printed to the console in detail. | ||
+ | |||
+ | ===== Check: Inhalte kontrollieren ===== | ||
+ | |||
+ | Auf der Shell im Klartext lesen: bei CERTs mit " | ||
+ | |||
+ | < | ||
+ | openssl x509 -text -noout -in ca.crt | ||
+ | |||
+ | openssl req -text -noout -verify -in csr.pem | ||
+ | |||
+ | </ | ||
+ | ===== Revocation list ===== | ||
+ | |||
+ | xx | ||
+ | |||
+ | ===== Test einer ssl Verbindung mit openssl s_client ===== | ||
+ | |||
+ | Das Standard-Tool für die Analyse von SSL-Funktionen ist das Kommandozeilenprogramm von OpenSSL. | ||
+ | |||
+ | https:// | ||
+ | < | ||
+ | openssl s_client -connect imap.1und1.de: | ||
+ | |||
+ | </ | ||
+ | |||
+ | Kommt als Ergebnis eine Ciphersuite heraus, die mit DH oder ECDH beginnt, haben sich die beiden Kommunikationspartner auf **Forward Secrecy **geeinigt. Ob ein Server überhaupt Forward Secrecy beherrscht, verrät: | ||
+ | < | ||
+ | openssl s_client -cipher ' | ||
+ | |||
+ | </ | ||
+ | |||
+ | Ob ein Server Diffie-Hellman erzwingt, auch wenn der Client RSA bevorzugt, verrät die cipher-Spezifikation ' | ||
+ | |||
+ | < | ||
+ | openssl s_client -starttls smtp -connect smtp.gmx.net: | ||
+ | |||
+ | </ | ||
+ | |||
+ | Dokumentation zu openssl siehe auch [[http:// | ||
+ | |||
+ | ===== Zufalls-Passwort generieren ===== | ||
+ | |||
+ | < | ||
+ | openssl rand -base64 | ||
+ | |||
+ | </ | ||
+ | |||
+ | Alternativ über doveadmin, siehe dort. | ||
+ | |||
+ | ===== Zertifikat Formate und ihre Konvertierung ===== | ||
+ | |||
+ | PKCS Dateien erzeugen (*.pfx, *.p12) | ||
+ | |||
+ | < | ||
+ | openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile more.crt | ||
+ | |||
+ | </ | ||
+ | |||
+ | This is optional, this is if you have any additional certificates you would like to include in the PFX file. | ||
+ | |||
+ | User Zertifikat erzeugen wie Server Zertifikat. Für VPN Verbindung kann ohne Passwort gearbeitet werden, es geht aber auch mit Passwort! | ||
+ | |||
+ | < | ||
+ | openssl genrsa -aes256 -out apache.key.pem -rand ./ | ||
+ | |||
+ | </ | ||
+ | |||
+ | Key Formate konvertieren | ||
+ | |||
+ | Von pfx nach pem | ||
+ | |||
+ | < | ||
+ | openssl pkcs12 -in [pkcs-12-certificate-and-key-file] -out [pem-certificate-and-key-file] | ||
+ | |||
+ | </ | ||
+ | |||
+ | ca-certs extrahieren | ||
+ | |||
+ | < | ||
+ | openssl pkcs12 -in ${filename}.pfx -nodes -nokeys -cacerts -out ${filename}-ca.crt | ||
+ | |||
+ | </ | ||
+ | |||
+ | key extrahieren | ||
+ | |||
+ | < | ||
+ | openssl pkcs12 -in ${filename}.pfx -nocerts -out ${filename}.key | ||
+ | |||
+ | </ | ||
+ | |||
+ | cert extrahieren | ||
+ | |||
+ | < | ||
+ | openssl pkcs12 -in ${filename}.pfx -clcerts -nokeys -out ${filename}.crt | ||
+ | |||
+ | </ | ||
+ | |||
+ | ca-certs und cert zusammen kleben | ||
+ | |||
+ | < | ||
+ | cat ${filename}.crt ${filename}-ca.crt> | ||
+ | |||
+ | </ | ||
+ | |||
+ | Passphäse aus key löschen | ||
+ | |||
+ | < | ||
+ | openssl rsa -in ${filename}.key -out ${filename}.key | ||
+ | |||
+ | </ | ||
+ | |||
+ | |||
+ | ===== Certification Authority ===== | ||
+ | |||
+ | Anleitung aus [[http:// | ||
+ | |||
+ | Privaten Schlüssel für CA mit gutem PW erzeugen | ||
+ | |||
+ | openssl genrsa -aes256 -out / | ||
+ | |||
+ | Danach öffentlichen Schlüssel erzeugen: | ||
+ | |||
+ | openssl req -new -x509 -days 1827 -key / | ||
+ | |||
+ | ===== CA erzeugen ===== | ||
+ | |||
+ | \\ | ||
+ | openssl genrsa -out apache.key.pem -rand ./ | ||
+ | |||
+ | openssl ca -name ServerCA -in apache.req.pem -out apache.cert.pem | ||
+ | |||
+ | mv newcerts/ | ||
+ | |||
+ | cd certs ln -s 01.pem | ||
+ | |||
+ | openssl x509 -hash -noout -in 01.pem` | ||
+ | |||
+ | Dabei nacheinander Land (DE), Region (ST), Stadt, Organisationsname (O) und -einheit (OU) eingeben, Wichtig: Der " | ||
+ | |||
+ | Achtung: Eigene Zertifikate für die virtual hosts gehen nur mit eigener IP Adresse für jeden dieser Server. Alternative ist subjectaltname, | ||
+ | |||
+ | Verlinkung der erzeugten Zertifikate | ||
+ | |||
+ | Um dieses erste Zertifikat der RootCA in das normale Handling der CA zu geben, muß es noch kopiert und verlinkt werden. Die Zertifikate werden im Unterverzeichnis certs mit dem Namen Ihrer Seriennummer gelegt und der Hash-Wert wird verlinkt: | ||
+ | |||
+ | cd / | ||
+ | cp RootCA.cert.pem / | ||
+ | |||
+ | cd / | ||
+ | ln -s 00.pem `openssl x509 -hash -noout -in 00.pem`. | ||
+ | |||
+ | ===== Sub CA für Server Signaturen erstellen ===== | ||
+ | |||
+ | Wie oben, nur wird ein CSR erzeugt, der von der Root CA signiert werden muss. | ||
+ | |||
+ | privaten Schlüssel erzeugen | ||
+ | |||
+ | Dann singning request (CSR) * mit RootCA signieren | ||
+ | |||
+ | CSR erzeugen: openssl req -new -key / | ||
+ | |||
+ | Signieren und hier die zeitliche Gültigkeit definieren: | ||
+ | |||
+ | openssl x509 -req -days 720 -in certs/ | ||
+ | |||
+ | Achtung: im Verz. des zum Signieren benutzten RootCA files muss es eine serial Datei geben: | ||
+ | |||
+ | The default filename consists of the CA certificate file base name with .srl appended. For example if the CA certificate file is called mycacert.pem, | ||
+ | |||
+ | ===== Zertifikate erzeugen ===== | ||
+ | |||
+ | Für Signieren über die eigene CA oder zum externen Signieren. Mit der ServerCA lassen sich jetzt Zertifikate für Server erstellen. Diese sollten - weil sie ihren Private Key ohne menschliches Zutun benutzen müssen - keine Passphrase haben. Dies geschieht durch Weglassen des Verschlüsselungs-Algoritmus beim Erstellen des Private Key. Ansonsten sind das auch nur normale Zertifikate. Allerdings werden sie nicht von der RootCA, sondern von der ServerCA signiert. | ||
+ | |||
+ | ===== Einrichten von Apache mit mod_ssl ===== | ||
+ | |||
+ | In apache 2.x entfällt der AddModule Befehl. Dort werden alle Module -zumindest bei SUSE- über / | ||
+ | |||
+ | Neue Anleitung für opensuse siehe [[http:// | ||
+ | |||
+ | ===== Easy RSA - gängige Befehle ===== | ||
+ | |||
+ | Siehe [[https:// | ||
+ | |||
+ | Zeritifkate konvertieren nur privatebn Schlüssel extrahieren # openssl pkcs12 -in filename.pfx -nocerts -out key.pem Zertifikat exportieren # openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cert.pem Diffie hellman Parameter erzeugen openssl dhparam -out dhparams.pem 4096 | ||