Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste Überarbeitung Beide Seiten, nächste Überarbeitung | ||
lpi2:ssl [2018/07/05 15:52] ingo_wichmann [Als root Vorgabewerte setzen] |
lpi2:ssl [2018/08/10 10:48] ingo_wichmann |
||
---|---|---|---|
Zeile 2: | Zeile 2: | ||
===== Diffie Hellman Schlüsselaustausch vorbereiten ===== | ===== Diffie Hellman Schlüsselaustausch vorbereiten ===== | ||
DH-Parameter erzeugen: ((https://bettercrypto.org empfiehlt 4096 Bit)) | DH-Parameter erzeugen: ((https://bettercrypto.org empfiehlt 4096 Bit)) | ||
- | openssl dhparam -out /etc/ssl/dhparams.pem 2048 | + | openssl dhparam -out /etc/ssl/dhparams.pem |
DH-Parameter ansehen: | DH-Parameter ansehen: | ||
openssl dhparam -text -in /etc/ssl/dhparams.pem | openssl dhparam -text -in /etc/ssl/dhparams.pem | ||
+ | |||
+ | Aufgabe: welche Bitlänge haben die Diffie Hellman Parameter? | ||
===== Selbstsignierte Server Zertifikate bauen ===== | ===== Selbstsignierte Server Zertifikate bauen ===== | ||
Zeile 19: | Zeile 21: | ||
((https://bettercrypto.org empfiehlt 4096 Bit)) | ((https://bettercrypto.org empfiehlt 4096 Bit)) | ||
- | openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout serverkey.pem -out servercert.pem | + | openssl req -x509 -nodes -days 365 -newkey rsa -keyout serverkey.pem -out servercert.pem |
<file> | <file> | ||
Zeile 165: | Zeile 167: | ||
//openssl s_server muss noch laufen// | //openssl s_server muss noch laufen// | ||
openssl s_client -connect localhost:4433 -CAfile /home/ca/ca.linuxhotel.de/cacert.pem | openssl s_client -connect localhost:4433 -CAfile /home/ca/ca.linuxhotel.de/cacert.pem | ||
+ | |||
+ | |||
=== in der Praxis === | === in der Praxis === | ||
+ | Audit-Tools: | ||
+ | sslscan linuxhotel.de | ||
+ | testssl.sh linuxhotel.de | ||
+ | |||
Automatische Audits helfen die Konfiguration zu verbessern: | Automatische Audits helfen die Konfiguration zu verbessern: | ||
+ | |||
* https://en.internet.nl | * https://en.internet.nl | ||
* https://www.ssllabs.com/ssltest | * https://www.ssllabs.com/ssltest |