openssl2

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
openssl2 [26/02/2025 - 10:51] support_netzwissen.deopenssl2 [02/03/2025 - 17:57] (aktuell) – [Formate und Konvertierung] thommie_netzwissen.de
Zeile 3: Zeile 3:
 ===== Schlüssel erzeugen ===== ===== Schlüssel erzeugen =====
  
-RSA+<code> 
 +openssl genrsa -aes256 -out dvsdnet.devoteam.de.key.pem 
 +</code> 
 + 
 +Bei RSA Schlüsseln wird automatisch ein Passwort abgefragt. Das kann man in einem zweiten Schritt wieder entfernen: 
 + 
 +<code> 
 +openssl rsa -in ${filename}.key -out ${filename}.key 
 +</code>
  
 ECDSA (elliptic curve) ECDSA (elliptic curve)
 +
 +Diese Schlüssel sind kleiner, bein Erzeugen wird kein Passwort verlangt
 +
 +<code>
 +openssl ecparam -name prime256v1 -genkey -noout -out key.pem
 +</code>
 +
 +ec Key **mit** Passwort erzeugen
 +
 +<code>
 +openssl ecparam -name prime256v1 -genkey | openssl ec -aes256 -out key.pem
 +</code>
  
 ===== Certificate Signing Request ===== ===== Certificate Signing Request =====
  
 Standard Standard
 +
 +Der csr wird entweder selber signiert oder an eine externe CA gegeben. -days regelt die Gültigkeit des Zertifikats und überschreibt die default Werte der ssh Konfiguration.
 +
 +Einfacher CSR
 +<code>
 +openssl req -nodes -new -newkey rsa:2048 -sha256 -out csr.pem
 +</code>
 +
 +<code>
 +''openssl req -new -key private/openvpn_client_odysseus.key -out certs/openvpn_client_odysseus.req.pem -days 730 ''
 +</code>
 +
 +Achtung bei openvpn: CN muß mit "locutusvpn" beginnen, da die im Server geprüft wird (Server Parameter –verify-x509-name locutusvpn name-prefix)
  
 Mit separater cnf Datei Mit separater cnf Datei
 +
 +<code>
 +[ req ]
 +default_bits           = 2048
 +default_keyfile        = privkey.key
 +distinguished_name     = req_distinguished_name
 +attributes             = req_attributes
 +req_extensions         = v3_ca
 +
 +dirstring_type = nobmp
 +
 +[ req_distinguished_name ]
 +C                      = DE
 +ST                     = Baden-Wuerttemberg
 +L                      = Stuttgart
 +O                      = Mercedes-Benz Group AG
 +CN                     = Common Name
 +emailAddress           = test@email.address
 +
 +[ req_attributes ]
 +challengePassword              = A challenge password
 +challengePassword_min          = 4
 +challengePassword_max          = 20
 +
 +[ v3_ca ]
 +
 +subjectKeyIdentifier = hash
 +basicConstraints = CA:false
 +keyUsage = nonRepudiation, digitalSignature, keyEncipherment
 +</code>
  
 ===== Signieren über eigene CA ===== ===== Signieren über eigene CA =====
 +
 +''openssl x509 -req -in certs/openvpn_client_odysseus.req.pem -CA certs/RootCA.cert.pem -CAkey private/RootCA.key.pem -out certs/openvpn_client_odysseus.cert.pem -days 720 ''
 +
 +Achtung: Beim Signieren über die eigene CA werden die Zertifikat-Nr hochgezählt (serial in srl Datei). Die srl Datei muss auch für die ServerCA separat existieren.
 +
 +''mv newcerts/01.pem certs/ cd certs ln -s 01.pem `openssl x509 -hash -noout -in 01.pem`.0 ''
  
 ===== Checks ===== ===== Checks =====
Zeile 19: Zeile 88:
 Inhalt kontrollieren Inhalt kontrollieren
  
-Passen key und crt zusammen?+Auf der Shell im Klartext lesen: bei CERTs mit "x509", bei CSRs mit "req"
  
-====== Formate und Konvertierung ======+<code> 
 +openssl x509 -text -noout -in ca.crt 
 +openssl req -text -noout -verify -in csr.pem 
 +</code>
  
-xxx+Check: Passen key und crt zusammen?
  
-====== CA und Sub CA erstellen ======+Replace <public.crt> with the filename of the public certificate.
  
-xxx+<code> 
 +openssl x509 -noout -modulus -in <public.crt> | openssl md5> /tmp/crt.pub 
 +openssl rsa -noout -modulus -in <private.key> | openssl md5> /tmp/key.pub 
 +</code>
  
-====== Apache mit mod_ssl ======+Danach ein diff der beiden Dateien: 
 + 
 +<code> 
 +diff /tmp/crt.pub /tmp/key.pub 
 +</code> 
 + 
 +If nothing is printed to the console, they were found to be a pair. Any differences are printed to the console in detail. 
 + 
 +===== Formate und Konvertierung ===== 
 + 
 +x509 nach pem 
 + 
 +<code> 
 +openssl x509 -in certificatename.cer -outform PEM -out certificatename.pem 
 +</code> 
 + 
 +Von pfx nach pem 
 + 
 +<code> 
 +openssl pkcs12 -in [pkcs-12-certificate-and-key-file] -out [pem-certificate-and-key-file] 
 +</code> 
 + 
 +ca-certs extrahieren 
 + 
 +<code> 
 +openssl pkcs12 -in ${filename}.pfx -nodes -nokeys -cacerts -out ${filename}-ca.crt 
 +</code> 
 + 
 +key extrahieren 
 + 
 +<code> 
 +openssl pkcs12 -in ${filename}.pfx -nocerts -out ${filename}.key 
 +</code> 
 + 
 +cert extrahieren 
 +<code> 
 +openssl pkcs12 -in ${filename}.pfx -clcerts -nokeys -out ${filename}.crt 
 +</code> 
 + 
 +ca-certs und cert zusammen kleben 
 + 
 +<code> 
 +cat ${filename}.crt ${filename}-ca.crt> ${filename}-full.crt 
 +</code> 
 + 
 +Passphäse aus key löschen 
 + 
 +<code> 
 +openssl rsa -in ${filename}.key -out ${filename}.key 
 +</code> 
 + 
 + 
 +===== CA und Sub CA erstellen ===== 
 + 
 +Mit der ServerCA lassen sich jetzt Zertifikate für Server erstellen. Diese sollten - weil sie ihren Private Key ohne menschliches Zutun benutzen müssen - keine Passphrase haben. Dies geschieht durch Weglassen des Verschlüsselungs-Algoritmus beim Erstellen des Private Key. Ansonsten sind das auch nur normale Zertifikate. Allerdings werden sie nicht von der RootCA, sondern von der ServerCA signiert. 
 + 
 + 
 +===== Apache mit mod_ssl =====
  
 xxx xxx
  
-====== Apache mit mTLS ======+===== Apache mit mTLS =====
  
 https://vignesh-thirunavukkarasu.medium.com/mtls-with-apache-http-server-fbfd702106ca https://vignesh-thirunavukkarasu.medium.com/mtls-with-apache-http-server-fbfd702106ca
  
 +===== EASYrsa (openvpn) =====
  
 +xxx
  
 +
 +===== SSL Test mit openssl s_client =====
 +
 +xxx
  • openssl2.1740567092.txt.gz
  • Zuletzt geändert: 26/02/2025 - 10:51
  • von support_netzwissen.de