OpenSSL Befehle

dominion

vor 12 Jahren

Eine Übersicht wichtiger OpenSSL Befehle.

Zertifikate erstellen

2048 Bit KEY und CSR erstellen
Merke: Ein Key mit einer Passphrase versehen blockiert den automatischen Webserver Start!

openssl req -nodes -newkey rsa:2048 -keyout DOMAIN.de.key -out DOMAIN.de.csr

1	openssl req -nodes -newkey rsa:2048 -keyout DOMAIN.de.key -out DOMAIN.de.csr

Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]: NRW
Locality Name (eg, city) []: Cologne
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Firma 123 GmbH
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []: www.domain.de
Email Address []: webmaster@domain.de

Country Name (2 letter code) [AU]: DE

State or Province Name (full name) [Some-State]: NRW

Locality Name (eg, city) []: Cologne

Organization Name (eg, company) [Internet Widgits Pty Ltd]: Firma 123 GmbH

Organizational Unit Name (eg, section) []:

Common Name (eg, YOUR name) []: www.domain.de

Email Address []: webmaster@domain.de

Self-Signed-Certificate erstellen

openssl x509 -req -days 365 -in DOMAIN.de.csr -signkey DOMAIN.de.key -out DOMAIN.de.crt

1	openssl x509 -req -days 365 -in DOMAIN.de.csr -signkey DOMAIN.de.key -out DOMAIN.de.crt

Zertifikate prüfen

CSR auslesen

openssl asn1parse -in DOMAIN.de.csr

1	openssl asn1parse -in DOMAIN.de.csr

CRT ausgeben

openssl x509 -text -noout -in DOMAIN.de.crt

1	openssl x509 -text -noout -in DOMAIN.de.crt

CRT Aussteller ausgeben

openssl x509 -noout -issuer -in DOMAIN.de.crt

1	openssl x509 -noout -issuer -in DOMAIN.de.crt

CRT, KEY, CSR prüfen(identische Prüfsumme = Übereinstimmung)

openssl x509 -noout -modulus -in DOMAIN.de.crt | openssl md5
openssl rsa -noout -modulus -in DOMAIN.de.key | openssl md5
openssl req -noout -modulus -in DOMAIN.de.csr | openssl md5

openssl x509 -noout -modulus -in DOMAIN.de.crt | openssl md5

openssl rsa -noout -modulus -in DOMAIN.de.key | openssl md5

openssl req -noout -modulus -in DOMAIN.de.csr | openssl md5

Passphrase entfernen/ändern

Passphrase für einen KEY entfernen

openssl rsa -in ALT_DOMAIN.de.key -out NEU_DOMAIN.de.key

1	openssl rsa -in ALT_DOMAIN.de.key -out NEU_DOMAIN.de.key

Passphrase für einen KEY ändern

openssl rsa -des3 -in ALT_DOMAIN.de.key -out NEU_DOMAIN.de.key

1	openssl rsa -des3 -in ALT_DOMAIN.de.key -out NEU_DOMAIN.de.key

SSL Verbindungen prüfen

HTTPS

openssl s_client -connect DOMAIN.de:443

1	openssl s_client -connect DOMAIN.de:443

SMTP

openssl s_client -starttls smtp -crlf -connect DOMAIN.de:25

1	openssl s_client -starttls smtp -crlf -connect DOMAIN.de:25

POP3

openssl s_client -starttls pop3 -crlf -connect DOMAIN.de:110

1	openssl s_client -starttls pop3 -crlf -connect DOMAIN.de:110

IMAP

openssl s_client -starttls imap -crlf -connect DOMAIN.de:143

1	openssl s_client -starttls imap -crlf -connect DOMAIN.de:143

SSL Cipher prüfen

Eine unsichere Cipher Suite testen wir mit sslscan. (apt-get install sslscan)

sslscan DOMAIN.de

1	sslscan DOMAIN.de

Praktische Kurzform.

sslscan DOMAIN.de | grep Accepted

1	sslscan DOMAIN.de \| grep Accepted

Es sollte keine unsichere RC4 Cipher auftauchen wie in diesem Beispiel.

$ sslscan DOMAIN.de | grep Accepted
    Accepted  SSLv3  128 bits  RC4-SHA
    Accepted  SSLv3  128 bits  RC4-MD5
    Accepted  TLSv1  128 bits  RC4-SHA
    Accepted  TLSv1  128 bits  RC4-MD5

$ sslscan DOMAIN.de | grep Accepted

Accepted SSLv3 128 bits RC4-SHA

Accepted SSLv3 128 bits RC4-MD5

Accepted TLSv1 128 bits RC4-SHA

Accepted TLSv1 128 bits RC4-MD5