Benutzer-Werkzeuge
lpi2:ssl
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste Überarbeitung Beide Seiten, nächste Überarbeitung | ||
|
lpi2:ssl [2018/06/15 11:53] 127.0.0.1 Externe Bearbeitung |
lpi2:ssl [2018/08/10 10:48] ingo_wichmann |
||
|---|---|---|---|
| Zeile 2: | Zeile 2: | ||
| ===== Diffie Hellman Schlüsselaustausch vorbereiten ===== | ===== Diffie Hellman Schlüsselaustausch vorbereiten ===== | ||
| DH-Parameter erzeugen: ((https://bettercrypto.org empfiehlt 4096 Bit)) | DH-Parameter erzeugen: ((https://bettercrypto.org empfiehlt 4096 Bit)) | ||
| - | openssl dhparam -out /etc/ssl/dhparams.pem 2048 | + | openssl dhparam -out /etc/ssl/dhparams.pem |
| DH-Parameter ansehen: | DH-Parameter ansehen: | ||
| openssl dhparam -text -in /etc/ssl/dhparams.pem | openssl dhparam -text -in /etc/ssl/dhparams.pem | ||
| + | |||
| + | Aufgabe: welche Bitlänge haben die Diffie Hellman Parameter? | ||
| ===== Selbstsignierte Server Zertifikate bauen ===== | ===== Selbstsignierte Server Zertifikate bauen ===== | ||
| Zeile 19: | Zeile 21: | ||
| ((https://bettercrypto.org empfiehlt 4096 Bit)) | ((https://bettercrypto.org empfiehlt 4096 Bit)) | ||
| - | openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout serverkey.pem -out servercert.pem | + | openssl req -x509 -nodes -days 365 -newkey rsa -keyout serverkey.pem -out servercert.pem |
| <file> | <file> | ||
| Zeile 39: | Zeile 41: | ||
| ===== Server Zertifikat und CA selbst bauen ===== | ===== Server Zertifikat und CA selbst bauen ===== | ||
| ==== Als root Vorgabewerte setzen ==== | ==== Als root Vorgabewerte setzen ==== | ||
| - | ''/etc/ssl/openssl.cnf'' : ( SuSE 10.2, Debian 4.0 ) | + | ''/etc/ssl/openssl.cnf'' : ( SuSE 10.2, ab Debian 4.0 ) |
| - | ''/etc/pki/tls/openssl.cnf'' : ( CentOS 5 ) | + | ''/etc/pki/tls/openssl.cnf'' : ( ab CentOS 5 ) |
| die folgenden Zeilen anpassen | die folgenden Zeilen anpassen | ||
| Zeile 165: | Zeile 167: | ||
| //openssl s_server muss noch laufen// | //openssl s_server muss noch laufen// | ||
| openssl s_client -connect localhost:4433 -CAfile /home/ca/ca.linuxhotel.de/cacert.pem | openssl s_client -connect localhost:4433 -CAfile /home/ca/ca.linuxhotel.de/cacert.pem | ||
| + | |||
| + | |||
| === in der Praxis === | === in der Praxis === | ||
| + | Audit-Tools: | ||
| + | sslscan linuxhotel.de | ||
| + | testssl.sh linuxhotel.de | ||
| + | |||
| Automatische Audits helfen die Konfiguration zu verbessern: | Automatische Audits helfen die Konfiguration zu verbessern: | ||
| + | |||
| * https://en.internet.nl | * https://en.internet.nl | ||
| * https://www.ssllabs.com/ssltest | * https://www.ssllabs.com/ssltest | ||
lpi2/ssl.txt · Zuletzt geändert: 2024/03/21 16:48 von sven_ruess
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
