MyWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: linux openssl
ssl

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
ssl [2021/02/12 22:56]
root [GnuTLS] 		ssl [2021/07/06 17:15] (aktuell)
root [Bestandteile von Zertifikaten]
Zeile 77: Zeile 77:
   * ein Root-CA-Zertifikat hat keine Sektion "Authority Key Identifier" und Subject- und Issuer-Eintrag sind identisch   * ein Root-CA-Zertifikat hat keine Sektion "Authority Key Identifier" und Subject- und Issuer-Eintrag sind identisch
       * das kommt daher da das Zertifikat self-signed ist (es gibt ja keine höhere Stelle die es signiert haben könnte)       * das kommt daher da das Zertifikat self-signed ist (es gibt ja keine höhere Stelle die es signiert haben könnte)
 +
 +
 +
 +====== SHA1 in aktuellen Systemen aktivieren =======
 +
 +  * SHA1 ist in aktuellen Versionen von OpenSSL per Default deaktiviert als Signing-Algorithmus
 +  * Auch wenn man die entsprechenden Signatur-Algorithmen explizit angibt werden sie in openssl nicht genutzt (bis man unten stehende Option setzt)
 +  * man kann es wahrscheinlich in der openssl.conf systemweit aktivieren
 +
 +
 +  * man kann openssl folgenden Parameter übergeben:
 +
 +<code>
 +"CipherString" => "DEFAULT@SECLEVEL=1"
 +</code>
 +
 +  * viele Programme die openssl benutzen kennen einen Config-Parameter "ssl.openssl.ssl-conf-cmd" oder ähnlich benannt
 +      * darüber kann man openssl Parameter mitgeben (ohne dafür eine explizite Option zu brauchen)
 +  * im Falle von lighttpd sieht das so aus:
 +
 +<code>
 +ssl.openssl.ssl-conf-cmd=("CipherString" => "DEFAULT@SECLEVEL=1")
 +</code>
 +
 +
 +====== Bestandteile von Zertifikaten ======
 +
 +^Bestandteil ^Beschreibung ^
 +|CN| Common Name - URL des Systems für die das Zertifikat ausgestellt wurde. \\ Neuere Zertifikate sollten den Namen in diesem Feld noch mal im SAN stehen haben. \\ Beim Vorhandensein von SAN werden nur die SAN ausgewertet, die Daten im CN werden ignoriert.|
 +|SAN|Subject Alternative Name \\ \\ Eigentlich zusätzliche "Namen" unter denen die Instanz (zum Beispiel Server) auftreten kann/erreichbar ist, sozusagen zusätzliche CN. \\ Die können (im Gegensatz zum CN) einen Typ haben (können zum Beispiel Mail-Adressen enthalten oder ähnliches). \\ **Achtung: Wenn vorhanden wird der CN nicht mehr ausgewertet!. \\ In neuen Zertifikaten sollte der CN noch mal als SNA vorhanden sein|
 +
 +
 +====== Was muss gesendet werden ======
 +
 +  * da die Root-CAs auf der Gegenseite schon vorhanden sind brauchen sie nicht gesendet werden (können aber), die Auflösung funktioniert auch ohne
 +  * alle Intermediate-Certifacates + das Host-Certificate müssen gesendet werden 
 +      * weil die sind ja nicht auf der Gegenseite vorhanden und die Chain kann sonst nicht aufgebaut werden
ssl.1613167008.txt.gz · Zuletzt geändert: 2021/02/12 22:56 von root

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki