IT-Academy Logo
Sign Up Login Help
Home - Betriebssysteme - Allgemein - OpenSSL Kommandos



OpenSSL Kommandos

Der Artikel zeigt einige wichtige OpenSSL Kommandos.


Autor: ()
Datum: 09-09-2007, 15:12:56
Referenzen: http://www.openssl.org
Schwierigkeit: Fortgeschrittene
Ansichten: 9209x
Rating: Bisher keine Bewertung.

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Zertifikate lassen sich mit einem GUI wie TinyCA sehr leicht administrieren, trotzdem kann es unverzichtbar sein grundlegende Befehle zu beherrschen. OpenSSL wird über die Datei /etc/ssl/openssl.conf (bei Debian Etch) eingerichtet. Es folgt nun eine List von einigen wichtigen Kommandos.

Erstellen einer Zertifizierungstellei (selbst signiertes Zertifikat):

$ openssl genrsa -aes256 -out  1024
$ openssl req -new -key  -out 
$ openssl x509 -signkey  -in  -req -out  -set_serial 1
Im einzelnen wird als erstes eine privater Schlüssel generiert (1024 Bit lang). Der Schlüssel wird dabei mit AES verschlüsselt um ihn vor Unbefugten zu schützen. Danach wird eine Signierungsanfrage oder CSR (certificat signing request) erstellt. Diese enthält Informationen über den Besitzer des zu erstellenden Zertifikats und den öffentlichen Schlüssel (passend zum im ersten Schritt erstellen privaten Schlüssel). Im dritten Schritt wird dann der CSR von der CA eine Signatur angehängt, wodurch ein Zertifikat entsteht. Erstellen eines Zertifikates (wird mit dem Zertifikat der Zertifizierungstelle signiert)

$ openssl genrsa -aes256 -out  1024
$ openssl req -new -key  -out 
$ openssl x509 -CA  -CAkey  -in  -req -out 
Im Debian Paket von Openssl befindet sich das Skript CA.sh mit welchem sich die beschriebenen Schritte vereinfacht erledigen lassen.

Diffie Hellman Parameter erstellen (1024 Bit lang)

$ openssl dhparam -out  1024
Äberprüfung der Gültigkeit eines Zertifikats:

$ openssl verify -CAfile  
Auslesen der wichtigsten Information aus dem Zertifikat:

$ openssl x509 -in  -noout -text
Erstellen einer CRL (certificate revoke liste):

$ openssl ca -gencrl -out 
Die CRL ist eine Datei die der Öffentlichkeit zur Verfügung gestellt wird. In dieser Datei sind die widerrufenen Zertifikate aufgeführt. Widerrufen eines Zertifikates (Status eines Zertifikates steht in der Datei index.txt):

$ openssl ca -revoke 
OCSP (online certificate status protocol) Server starten:

$ openssl ocsp -index  -port 8888 -CA  
OCSP ist ein Protokoll welches es erlaubt den Status eines Zertifikats zur Echtzeit zu ermitteln (Alternative zu CRL).

Für weitere Informationen siehe http://www.openssl.org.


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04508
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06246
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1154
Comments: 0