Eine Übersicht wichtiger OpenSSL Befehle.
Zertifikate erstellen
2048 Bit KEY und CSR erstellen
Merke: Ein Key mit einer Passphrase versehen blockiert den automatischen Webserver Start!
1 |
openssl req -nodes -newkey rsa:2048 -keyout DOMAIN.de.key -out DOMAIN.de.csr |
1 2 3 4 5 6 7 |
Country Name (2 letter code) [AU]: DE State or Province Name (full name) [Some-State]: NRW Locality Name (eg, city) []: Cologne Organization Name (eg, company) [Internet Widgits Pty Ltd]: Firma 123 GmbH Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []: www.domain.de Email Address []: webmaster@domain.de |
Self-Signed-Certificate erstellen
1 |
openssl x509 -req -days 365 -in DOMAIN.de.csr -signkey DOMAIN.de.key -out DOMAIN.de.crt |
Zertifikate prüfen
CSR auslesen
1 |
openssl asn1parse -in DOMAIN.de.csr |
CRT ausgeben
1 |
openssl x509 -text -noout -in DOMAIN.de.crt |
CRT Aussteller ausgeben
1 |
openssl x509 -noout -issuer -in DOMAIN.de.crt |
CRT, KEY, CSR prüfen(identische Prüfsumme = Übereinstimmung)
1 2 3 |
openssl x509 -noout -modulus -in DOMAIN.de.crt | openssl md5 openssl rsa -noout -modulus -in DOMAIN.de.key | openssl md5 openssl req -noout -modulus -in DOMAIN.de.csr | openssl md5 |
Passphrase entfernen/ändern
Passphrase für einen KEY entfernen
1 |
openssl rsa -in ALT_DOMAIN.de.key -out NEU_DOMAIN.de.key |
Passphrase für einen KEY ändern
1 |
openssl rsa -des3 -in ALT_DOMAIN.de.key -out NEU_DOMAIN.de.key |
SSL Verbindungen prüfen
HTTPS
1 |
openssl s_client -connect DOMAIN.de:443 |
SMTP
1 |
openssl s_client -starttls smtp -crlf -connect DOMAIN.de:25 |
POP3
1 |
openssl s_client -starttls pop3 -crlf -connect DOMAIN.de:110 |
IMAP
1 |
openssl s_client -starttls imap -crlf -connect DOMAIN.de:143 |
SSL Cipher prüfen
Eine unsichere Cipher Suite testen wir mit sslscan. (apt-get install sslscan)
1 |
sslscan DOMAIN.de |
Praktische Kurzform.
1 |
sslscan DOMAIN.de | grep Accepted |
Es sollte keine unsichere RC4 Cipher auftauchen wie in diesem Beispiel.
1 2 3 4 5 |
$ sslscan DOMAIN.de | grep Accepted Accepted SSLv3 128 bits RC4-SHA Accepted SSLv3 128 bits RC4-MD5 Accepted TLSv1 128 bits RC4-SHA Accepted TLSv1 128 bits RC4-MD5 |