OpenSSL Befehle

Eine Übersicht wichtiger OpenSSL Befehle.

Zertifikate erstellen

2048 Bit KEY und CSR erstellen
Merke: Ein Key mit einer Passphrase versehen blockiert den automatischen Webserver Start!

openssl req -nodes -newkey rsa:2048 -keyout DOMAIN.de.key -out DOMAIN.de.csr
Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]: NRW
Locality Name (eg, city) []: Cologne
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Firma 123 GmbH
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []: www.domain.de
Email Address []: webmaster@domain.de

Self-Signed-Certificate erstellen

openssl x509 -req -days 365 -in DOMAIN.de.csr -signkey DOMAIN.de.key -out DOMAIN.de.crt

Zertifikate prüfen

CSR auslesen

openssl asn1parse -in DOMAIN.de.csr

CRT ausgeben

openssl x509 -text -noout -in DOMAIN.de.crt

CRT Aussteller ausgeben

openssl x509 -noout -issuer -in DOMAIN.de.crt

CRT, KEY, CSR prüfen(identische Prüfsumme = Übereinstimmung)

openssl x509 -noout -modulus -in DOMAIN.de.crt | openssl md5
openssl rsa -noout -modulus -in DOMAIN.de.key | openssl md5
openssl req -noout -modulus -in DOMAIN.de.csr | openssl md5

Passphrase entfernen/ändern

Passphrase für einen KEY entfernen

openssl rsa -in ALT_DOMAIN.de.key -out NEU_DOMAIN.de.key

Passphrase für einen KEY ändern

openssl rsa -des3 -in ALT_DOMAIN.de.key -out NEU_DOMAIN.de.key

SSL Verbindungen prüfen

HTTPS

openssl s_client -connect DOMAIN.de:443

SMTP

openssl s_client -starttls smtp -crlf -connect DOMAIN.de:25

POP3

openssl s_client -starttls pop3 -crlf -connect DOMAIN.de:110

IMAP

openssl s_client -starttls imap -crlf -connect DOMAIN.de:143

SSL Cipher prüfen

Eine unsichere Cipher Suite testen wir mit sslscan. (apt-get install sslscan)

sslscan DOMAIN.de

Praktische Kurzform.

sslscan DOMAIN.de | grep Accepted

Es sollte keine unsichere RC4 Cipher auftauchen wie in diesem Beispiel.

$ sslscan DOMAIN.de | grep Accepted
    Accepted  SSLv3  128 bits  RC4-SHA
    Accepted  SSLv3  128 bits  RC4-MD5
    Accepted  TLSv1  128 bits  RC4-SHA
    Accepted  TLSv1  128 bits  RC4-MD5
Dominion

Dominion

Linux Systemadministrator

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.