Status & Leistung
Website-Uptime-Monitoring
Überwachen Sie die Verfügbarkeit von HTTP, HTTPS, DNS, UDP, TCP, E-Mail und mehr.
Website-Geschwindigkeits-Monitoring
Überwachen Sie die gesamte Website-Leistung durch Laden mit einem echten Chrome-Browser.
Real-User-Monitoring
Überwachen Sie die Geschwindigkeit der Benutzererfahrung für Besucher Ihrer Website.
Betrieb
Web-Transaktions-Monitoring
Überwachen Sie mehrstufige Transaktionen und werden Sie benachrichtigt, wenn etwas schief geht.
Domain-Ablauf-Monitoring
Überwachen Sie den Ablauf Ihrer Domains.
Öffentliche Statusseite
Zeigen Sie Echtzeit-Betriebsupdates Ihrer Website öffentlich an.
Sicherheit
SSL-Zertifikat-Monitoring
Überwachen Sie das SSL-Zertifikat Ihrer Website.
Virus-Monitoring
Neu
Werden Sie alarmiert, wenn Ihre Website von Viren oder Malware infiziert wird.
Bereit loszulegen? Kostenlos registrieren
Ressourcen
Lernen
Erfahren Sie Neues zu verschiedenen Themen rund um Website-Monitoring, -Wartung und -Entwicklung.
Fragen
Finden Sie Antworten auf häufige Fragen zum Website-Monitoring, zur Wartung und Entwicklung.
Produktinformationen
Blog
Hilfreiche Informationen für unsere Kunden über unsere Updates und Produktneuigkeiten.
Bereit loszulegen? Kostenlos registrieren

Leitfaden zum OpenSSL-Befehl

Startseite  »  Lernen  »  Leitfaden zum OpenSSL-Befehl
Veröffentlicht 27. August 2024

OpenSSL ist ein vielseitiges Tool zur Erstellung privater Schlüssel, zur Generierung von Zertifikatsignieranfragen (CSRs) und zur Verwaltung von SSL/TLS-Zertifikaten. Dieser Artikel behandelt die Identifizierung Ihrer OpenSSL-Version, die Verwendung gängiger OpenSSL-Befehle und die Befolgung bewährter Praktiken zur Sicherung Ihrer Schlüssel und Zertifikate.

Überprüfen Ihrer OpenSSL-Version

Identifizierung Ihrer OpenSSL-Version mit OpenSSL-Befehlen

Die Identifizierung der verwendeten OpenSSL-Version ist ein wichtiger erster Schritt bei der Vorbereitung zur Erstellung eines privaten Schlüssels oder einer CSR. Ihre OpenSSL-Version bestimmt, welche kryptografischen Algorithmen bei der Schlüsselerzeugung verwendet werden können und welche Protokolle unterstützt werden. Zum Beispiel war OpenSSL Version 1.0.1 die erste Version, die TLS 1.1 und TLS 1.2 unterstützte.

Verwenden Sie den Befehl openssl version -a, um zu ermitteln, welche OpenSSL-Version Sie verwenden. Der Schalter -a zeigt vollständige Versionsinformationen an, darunter:

  • Die Versionsnummer und das Veröffentlichungsdatum (z.B. OpenSSL 1.0.2g 1 Mar 2016)
  • Die Optionen, mit denen die Bibliothek erstellt wurde
  • Das Verzeichnis, in dem Zertifikate und private Schlüssel gespeichert werden (OPENSSLDIR)

Hier ist ein Beispiel für die Ausgabe von openssl version -a:

OpenSSL 1.0.2g  1 Mar 2016
built on: reproducible build, date unspecified
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx) 
compiler: cc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -
D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -g -O2 -fstack-protector-
strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-
Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -
DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -
DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -
DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/lib/ssl"

Die Kenntnis Ihrer OpenSSL-Version ist wichtig, um zu bestimmen, welche kryptografischen Algorithmen und Protokolle bei der Erstellung von Schlüsseln und CSRs unterstützt werden. Die Ausgabe liefert wichtige Details wie die Versionsnummer, Build-Optionen und das Standard-Speicherverzeichnis für Zertifikate und Schlüssel.

Häufig verwendete OpenSSL-Befehle

OpenSSL bietet viele Befehle zur Erstellung privater Schlüssel, zur Generierung von CSRs, zur Installation von SSL/TLS-Zertifikaten und zur Identifizierung von Zertifikatsinformationen. Hier sind einige der am häufigsten verwendeten OpenSSL-Befehle:

  • openssl genrsa: Erzeugt einen RSA-Privatschlüssel. Beispiel: openssl genrsa -out privatekey.key 2048
  • openssl req: Erstellt eine CSR oder ein selbstsigniertes Zertifikat. Beispiel: openssl req -new -key privatekey.key -out csr.csr
  • openssl x509: Zeigt Zertifikatsinformationen an, konvertiert Formate und signiert CSRs. Beispiel: openssl x509 -in cert.crt -text -noout
  • openssl pkcs12: Konvertiert zwischen PFX-, PEM- und DER-Formaten. Beispiel: openssl pkcs12 -export -out cert.pfx -inkey privatekey.key -in cert.crt
  • openssl s_client: Stellt eine sichere Verbindung zu einem entfernten Server her. Beispiel: openssl s_client -connect example.com:443

Mit diesen Befehlen können Sie wichtige Aufgaben wie die Erstellung starker privater Schlüssel, die Generierung von CSRs mit den erforderlichen Informationen, die Installation und Konfiguration von SSL/TLS-Zertifikaten und das Auffinden von Problemen durchführen.

OpenSSL-Befehlsstruktur und Optionen

Die meisten OpenSSL-Befehle folgen einer einheitlichen Struktur:

openssl command [options] [arguments]
  • command gibt die auszuführende Operation an, wie z.B. genrsa, req oder x509.
  • [options] ändern das Verhalten des Befehls. Optionen beginnen normalerweise mit einem Bindestrich (-) und können einen Wert haben.
  • [arguments] liefern zusätzliche Informationen, die der Befehl benötigt, wie z.B. Ein- und Ausgabedateipfade.

Einige häufig verwendete Optionen sind:

  • -in: Gibt den Eingabedateipfad an.
  • -out: Gibt den Ausgabedateipfad an.
  • -keyout: Gibt den Pfad zum Schreiben des neuen privaten Schlüssels an.
  • -pubout: Gibt den öffentlichen Schlüssel eines privaten Schlüssels oder einer CSR aus.
  • -text: Gibt den Inhalt eines Zertifikats im Klartext-Format aus.
  • -noout: Verhindert die Ausgabe der codierten Zertifikatsdaten.

Zum Beispiel verwendet der Befehl openssl x509 -in cert.crt -text -noout den x509-Befehl, um die Zertifikatsinformationen im Klartext anzuzeigen, ohne die codierten Daten auszugeben.

Das Erlernen dieser OpenSSL-Befehlsstrukturen und häufig verwendeten Optionen wird Ihnen helfen, OpenSSL effektiv für Ihre SSL/TLS-Zertifikatanforderungen zu nutzen.

Generierung privater Schlüssel und CSRs mit OpenSSL

Auswahl der Optionen zur Schlüsselerzeugung

Bei der Erstellung eines privaten Schlüssels für Ihr SSL/TLS-Zertifikat müssen Sie zwischen den RSA- und ECDSA-Schlüsselalgorithmen wählen. RSA wird weithin unterstützt und für die Kompatibilität empfohlen. Sie müssen auch eine Schlüsselgröße von mindestens 2048 Bit für RSA oder 256 Bit für ECDSA wählen. Größere Schlüssellängen bieten mehr Sicherheit, können aber die Leistung beeinträchtigen.

Eine weitere Entscheidung ist, ob Sie eine Passphrase zur Verschlüsselung des privaten Schlüssels verwenden möchten. Die Verwendung einer Passphrase fügt eine zusätzliche Sicherheitsebene hinzu, erfordert aber die Eingabe bei jeder Verwendung des Schlüssels. Passphrasen können nützlich sein, wenn der Schlüssel möglicherweise unbefugtem Zugriff ausgesetzt ist.

Erstellung Ihres privaten Schlüssels mit OpenSSL-Befehlen

Um einen 2048-Bit-RSA-Privatschlüssel zu erstellen, verwenden Sie den Befehl:

openssl genrsa -out ihredomain.key 2048

Dies erzeugt eine Privatschlüsseldatei mit dem Namen ihredomain.key im PEM-Format. Sie können den rohen, codierten Inhalt des Schlüssels mit folgendem Befehl anzeigen:

cat ihredomain.key

Oder decodieren Sie ihn, um die Schlüsseldetails anzuzeigen:

openssl rsa -text -in ihredomain.key -noout

Extrahieren Ihres öffentlichen Schlüssels aus dem privaten Schlüssel

Die erstellte Privatschlüsseldatei enthält sowohl den privaten als auch den öffentlichen Schlüssel. Bei Bedarf können Sie nur den öffentlichen Schlüssel mit folgendem Befehl extrahieren:

openssl rsa -in ihredomain.key -pubout -out ihredomain_public.key

Dies erstellt eine Datei mit dem Namen ihredomain_public.key, die den öffentlichen Schlüssel im PEM-Format enthält.

Erstellung Ihrer CSR

Um eine Certificate Signing Request (CSR) mit Ihrem privaten Schlüssel zu erstellen, verwenden Sie:

openssl req -new -key ihredomain.key -out ihredomain.csr

Dies fordert Sie auf, Fragen zu Ihrem Unternehmen und Ihrer Domain zu beantworten, die in die CSR aufgenommen werden sollen. Alternativ können Sie alle CSR-Details im Befehl mit der Option -subj angeben:

openssl req -new -key ihredomain.key -out ihredomain.csr \
-subj "/C=DE/ST=Berlin/L=Berlin/O=Ihr Unternehmen/OU=IT/CN=ihredomain.de"

Sie können auch den privaten Schlüssel und die CSR zusammen in einem Befehl erstellen:

openssl req -newkey rsa:2048 -keyout ihredomain.key -out ihredomain.csr

Überprüfung der CSR-Informationen

Bevor Sie Ihre CSR an eine Zertifizierungsstelle (CA) senden, überprüfen Sie, ob die Informationen korrekt sind:

openssl req -text -in ihredomain.csr -noout -verify

Dies zeigt die CSR-Details im Klartext an. Wenn Informationen falsch sind, müssen Sie eine neue CSR erstellen. Falsche Details können aufgrund der digitalen Signatur nicht ohne Erstellung einer neuen CSR geändert werden.

Durch die Kenntnis dieser Optionen zur Schlüsselerzeugung und OpenSSL-Befehle können Sie starke private Schlüssel und CSRs erstellen, die auf Ihre SSL/TLS-Zertifikatanforderungen zugeschnitten sind.

Verwaltung von Zertifikaten

Anzeigen von Zertifikatsinformationen

Nachdem Sie Ihr SSL/TLS-Zertifikat von der Zertifizierungsstelle (CA) erhalten haben, sollten Sie überprüfen, ob die Details des Zertifikats mit Ihrem privaten Schlüssel übereinstimmen. Verwenden Sie diesen Befehl, um den Inhalt Ihres Zertifikats anzuzeigen:

openssl x509 -text -in ihredomain.crt -noout

Dies zeigt die Zertifikatsinformationen im Klartext ohne die codierten Daten an. Achten Sie auf den Abschnitt "Subject Public Key Info", um die Details des öffentlichen Schlüssels zu sehen. Stellen Sie sicher, dass diese mit dem öffentlichen Schlüssel in Ihren CSR- und Privatschlüsseldateien übereinstimmen.

Überprüfung der Übereinstimmung Ihrer Schlüssel

Um zu überprüfen, ob der private Schlüssel Ihres Zertifikats, die CSR und das ausgestellte Zertifikat alle den gleichen öffentlichen Schlüssel haben, können Sie den öffentlichen Schlüssel aus jeder Datei extrahieren und einen Hash davon erstellen. Wenn die Hashes übereinstimmen, sind die Schlüssel identisch.

Verwenden Sie diese Befehle, um den Hash des öffentlichen Schlüssels für jede Datei zu erhalten:

openssl pkey -pubout -in ihredomain.key | openssl sha256
openssl req -pubkey -in ihredomain.csr -noout | openssl sha256 
openssl x509 -pubkey -in ihredomain.crt -noout | openssl sha256

Führen Sie jeden Befehl einzeln aus, um drei Hashes zu erhalten. Wenn alle Hashes gleich sind, stimmen die öffentlichen Schlüssel in Ihrem privaten Schlüssel, der CSR und dem Zertifikat überein.

Wenn die Hashes nicht übereinstimmen, bedeutet dies oft, dass die CSR auf einer anderen Maschine erstellt wurde als dort, wo das Zertifikat installiert wird. Um Schlüsselabweichungen zu beheben, können Sie entweder:

  • Den privaten Schlüssel von der CSR-Maschine auf die Zertifikat-Maschine übertragen
  • Das Zertifikat auf der Maschine installieren, die den passenden privaten Schlüssel hat
  • Einen neuen privaten Schlüssel und eine neue CSR auf der Maschine erstellen, die das Zertifikat verwenden wird

Konvertierung von Zertifikatsformaten

Standardmäßig erstellt OpenSSL private Schlüssel und CSRs im PEM-Format. Es kann jedoch erforderlich sein, sie für bestimmte Systeme in andere Formate wie PKCS#12 oder DER zu konvertieren.

Um ein PEM-Zertifikat und einen privaten Schlüssel in eine PKCS#12-Datei (.pfx oder .p12) für die Übertragung zu konvertieren:

openssl pkcs12 -export -name "ihredomain-digicert-(Ablaufdatum)" \
-out ihredomain.pfx -inkey ihredomain.key -in ihredomain.crt

Dies kombiniert Ihren privaten Schlüssel ihredomain.key und das Zertifikat ihredomain.crt in einer ihredomain.pfx-Datei. Die Option -name legt einen benutzerfreundlichen Namen fest, der die Domain und das Ablaufdatum enthält. Sie werden aufgefordert, ein Verschlüsselungspasswort für die .pfx-Datei einzugeben.

Um eine .pfx-Datei zurück in das PEM-Format zu konvertieren, verwenden Sie separate Befehle für den Schlüssel und das Zertifikat:

openssl pkcs12 -in ihredomain.pfx -nocerts -out ihredomain.key -nodes
openssl pkcs12 -in ihredomain.pfx -nokeys -clcerts -out ihredomain.crt

Der erste Befehl extrahiert den privaten Schlüssel und der zweite extrahiert das Zertifikat. Die Option -nodes entfernt die Verschlüsselung des privaten Schlüssels.

Um zwischen PEM- und DER-Formaten zu konvertieren, verwenden Sie die Befehle x509 und rsa mit den Schaltern -inform und -outform:

openssl x509 -inform PEM -in ihredomain.crt -outform DER -out ihredomain.der
openssl rsa -inform PEM -in ihredomain.key -outform DER -out ihredomain_key.der

Diese Befehle konvertieren ein PEM-Zertifikat in DER und einen PEM-Privatschlüssel in DER. Um von DER zurück zu PEM zu gelangen, tauschen Sie einfach die Werte von -inform und -outform aus.

Durch die Verwendung dieser OpenSSL-Befehle zum Anzeigen, Überprüfen und Konvertieren Ihrer SSL/TLS-Zertifikate und Schlüssel können Sie diese ordnungsgemäß verwalten und auf Ihren Servern wie Apache Tomcat oder IIS installieren.

Auflistung von Cipher Suites

Cipher Suites sind Sätze von Algorithmen, die zur Sicherung von Netzwerkverbindungen mit SSL/TLS verwendet werden. Sie umfassen Schlüsselaustausch-, Authentifizierungs-, Verschlüsselungs- und Hash-Algorithmen. Um zu sehen, welche Cipher Suites Ihre OpenSSL-Version unterstützt, verwenden Sie den folgenden Befehl:

openssl ciphers -v

Dies zeigt die vollständigen Namen jeder unterstützten Cipher Suite an. Die Namen folgen einem Format wie:

Protokoll-Schlüsselaustausch-Authentifizierung-Verschlüsselung-Hash

Zum Beispiel verwendet TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384:

  • TLS-Protokoll
  • ECDHE-Schlüsselaustausch
  • RSA-Authentifizierung
  • AES-256-Verschlüsselung im GCM-Modus
  • SHA384-Hash

Die Kenntnis dieser Namensbestandteile kann bei der Auswahl von Cipher Suites helfen, die Ihren Sicherheits-, Kompatibilitäts- und Leistungsanforderungen entsprechen.

Erstellung und Überprüfung von Hashes

Hashes sind einzigartige, feste Zusammenfassungen von Daten. Sie helfen bei der Überprüfung der Integrität von Dateien und Nachrichten. Verwenden Sie OpenSSL-Befehle, um Hashes von Schlüsseln und Zertifikaten zu erstellen:

openssl dgst -sha256 ihredomain.key
openssl dgst -sha256 ihredomain.csr 
openssl dgst -sha256 ihredomain.crt

Diese erstellen SHA-256-Hashes Ihrer Privatschlüssel-, CSR- und Zertifikatsdateien. Sie können sha256 durch andere Hash-Algorithmen wie md5, sha1 oder sha512 ersetzen.

Um die Integrität einer Datei zu überprüfen, erstellen Sie einen Hash und vergleichen Sie ihn mit einem bekannten korrekten Hash-Wert. Wenn sie übereinstimmen, wurde die Datei nicht verändert. Dies wird häufig bei Dateidownloads verwendet, um sicherzustellen, dass sie nicht beschädigt oder verändert wurden.

Durch die Auflistung unterstützter Cipher Suites und die Erstellung von Datei-Hashes können Sie Ihre SSL/TLS-Einrichtung mit OpenSSL besser absichern und überprüfen.

Fehlersuche und Problemlösung

Häufige OpenSSL-Probleme und ihre Lösungen

Bei der Arbeit mit OpenSSL zur Erstellung von Schlüsseln, CSRs und der Installation von SSL/TLS-Zertifikaten können einige häufige Probleme auftreten. Hier sind einige Probleme und wie Sie sie beheben können:

  • Probleme bei der Zertifikatsinstallation und -konfiguration: Überprüfen Sie, ob die Zertifikatsdateipfade in Ihrer Webserver-Konfiguration korrekt sind. Stellen Sie sicher, dass das Zertifikat und der private Schlüssel in den richtigen Formaten (PEM oder PKCS#12) vorliegen, die Ihr Server benötigt.

  • Abweichungen zwischen privatem Schlüssel und Zertifikat: Überprüfen Sie, ob der zur Erstellung der CSR verwendete private Schlüssel mit dem bei der Zertifikatsinstallation verwendeten übereinstimmt. Vergleichen Sie die Hashes der öffentlichen Schlüssel in den Dateien des privaten Schlüssels, der CSR und des Zertifikats. Wenn sie nicht übereinstimmen, erstellen Sie die CSR mit dem korrekten privaten Schlüssel neu.

  • Probleme mit Dateiberechtigungen und -eigentum: Überprüfen Sie, ob die Dateien des privaten Schlüssels und des Zertifikats die richtigen Berechtigungen und Eigentümer für Ihren Webserver-Prozess haben. Beispielsweise müssen Sie unter Linux möglicherweise die Berechtigungen mit chmod 400 ihredomain.key und das Eigentum mit chown www-data:www-data ihredomain.key setzen.

  • Fehler bei OpenSSL-Befehlen: Wenn Sie Fehler bei der Ausführung von OpenSSL-Befehlen erhalten, überprüfen Sie die Syntax, Optionen und Dateipfade. Stellen Sie sicher, dass Sie die richtigen Befehle für Ihre OpenSSL-Version verwenden und die Dateien im richtigen Format vorliegen.

Identifizierung von TLS-Versionen und Konfigurationen

Es ist wichtig zu überprüfen, ob Ihr OpenSSL und Webserver für die Verwendung der neuesten TLS-Versionen und starken Cipher Suites konfiguriert sind. So können Sie das überprüfen:

  1. Überprüfen Sie die TLS-Versionsunterstützung Ihres OpenSSL: Verwenden Sie den Befehl s_client, um die für eine Verbindung verwendete TLS-Version zu sehen:

    openssl s_client -connect ihredomain.de:443 -tls1_2

    Ersetzen Sie ihredomain.de durch Ihren Domainnamen. Die Option -tls1_2 testet eine TLS 1.2-Verbindung. Sie können sie durch -tls1, -tls1_1 oder -tls1_3 ersetzen, um andere Versionen zu testen. Eine erfolgreiche Verbindung bedeutet, dass diese TLS-Version unterstützt wird.

  2. Überprüfen Sie die TLS-Konfiguration Ihres Webservers: Prüfen Sie die SSL/TLS-Einstellungen Ihres Webservers, um sicherzustellen, dass er für die Verwendung von TLS 1.2 oder 1.3 konfiguriert ist und nicht alte Versionen wie SSL 3.0 oder TLS 1.0 verwendet. In Apache könnten Sie beispielsweise Einstellungen wie diese sehen:

    SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5

    Dies deaktiviert SSL 3.0, TLS 1.0 und TLS 1.1, während es Cipher Suites mit hoher Stärke aktiviert. Prüfen Sie die Dokumentation Ihres Webservers für die richtigen TLS-Konfigurationseinstellungen.

  3. Verwenden Sie SSL/TLS-Testtools: Online-Tools wie der SSL Labs Server Test können die SSL/TLS-Einrichtung Ihres Servers überprüfen und Probleme mit dem Zertifikat, den Protokollversionen oder Cipher Suites aufdecken.

Durch das Erkennen und Beheben dieser häufigen OpenSSL-Probleme und die Sicherstellung einer sicheren TLS-Einrichtung können Sie Ihre SSL/TLS-Konfiguration für Ihre Domains besser debuggen und Probleme beheben.

Bewährte Praktiken

Sichere Verwaltung privater Schlüssel und Zertifikate

Private Schlüssel sind die Grundlage Ihrer SSL/TLS-Sicherheit. Es ist wichtig, sie ordnungsgemäß zu erstellen, zu speichern und zu schützen. Hier sind einige bewährte Praktiken:

  • Erstellen Sie private Schlüssel mit mindestens 2048-Bit RSA oder 256-Bit ECDSA für starke Sicherheit
  • Verwenden Sie eine Passphrase zur Verschlüsselung der privaten Schlüsseldatei für eine zusätzliche Schutzebene
  • Speichern Sie private Schlüssel an einem sicheren Ort mit strikten Zugangskontrollen, wie einem verschlossenen Safe oder einem verschlüsselten Hardware-Sicherheitsmodul (HSM)
  • Beschränken Sie den Zugriff auf private Schlüssel auf nur die Administratoren, die ihn unbedingt benötigen
  • Teilen Sie private Schlüssel niemals über unsichere Kanäle wie E-Mail oder Messaging
  • Rotieren und aktualisieren Sie private Schlüssel regelmäßig, insbesondere wenn die Möglichkeit einer Kompromittierung besteht

Auch SSL/TLS-Zertifikate müssen sorgfältig verwaltet und eingesetzt werden. Einige Richtlinien umfassen:

  • Verwenden Sie eine zuverlässige und vertrauenswürdige Zertifizierungsstelle (CA) zur Ausstellung Ihrer Zertifikate
  • Wählen Sie den richtigen Zertifikatstyp für Ihre Bedürfnisse, wie Single-Domain, Multi-Domain oder Wildcard
  • Übermitteln Sie die Certificate Signing Request (CSR) sicher an die CA, z.B. über ein verschlüsseltes Webformular oder per E-Mail
  • Speichern Sie Zertifikate an einem geschützten Ort mit begrenztem Zugang für Administratoren
  • Installieren und konfigurieren Sie Zertifikate ordnungsgemäß auf Ihren Webservern, Load Balancern und anderen SSL/TLS-Endpunkten
  • Behalten Sie die Ablaufdaten der Zertifikate im Auge und erneuern Sie sie vor Ablauf, um Ausfallzeiten zu vermeiden
  • Ersetzen Sie Zertifikate, wenn der private Schlüssel kompromittiert wurde oder das Zertifikat aus irgendeinem Grund widerrufen werden muss

OpenSSL auf dem neuesten Stand halten

Die Verwendung der neuesten OpenSSL-Version ist wichtig, um die neuesten Sicherheitskorrekturen, Protokoll- und Algorithmusunterstützung sowie Funktionen zu erhalten. ÄltereVersionen können bekannte Schwachstellen aufweisen, die von Angreifern ausgenutzt werden können.

Überprüfen Sie Ihre OpenSSL-Version mit openssl version und vergleichen Sie sie mit den neuesten Veröffentlichungen auf der OpenSSL-Website. Wenn Sie nicht die neueste Version verwenden, aktualisieren Sie sie so bald wie möglich.

Der Aktualisierungsprozess hängt von Ihrem Betriebssystem und Ihrer Umgebung ab:

  • Unter Linux verwenden Sie Ihren Paketmanager, um die neueste OpenSSL-Version zu installieren. Zum Beispiel unter Ubuntu oder Debian: 
    sudo apt update
sudo apt install openssl
  • Unter Windows laden Sie den neuesten OpenSSL-Installer oder die Binärdateien von der offiziellen Website oder einem vertrauenswürdigen Drittanbieter herunter. Ersetzen Sie Ihr altes OpenSSL-Verzeichnis durch die neue Version.
  • Für Programmiersprachen und Frameworks wie Python, Ruby oder Node.js aktualisieren Sie die von ihnen verwendete OpenSSL-Bibliothek. Dies kann bedeuten, dass Sie die Sprache/das Framework selbst oder SSL/TLS-Wrapper-Bibliotheken aktualisieren müssen.
  • Auf Webservern wie Apache oder Nginx aktualisieren Sie die Serverversion oder OpenSSL-Module, um die neueste Version zu erhalten. Prüfen Sie die Serverdokumentation für spezifische Aktualisierungsanweisungen.

Nachdem Sie OpenSSL aktualisiert haben, testen Sie unbedingt Ihre SSL/TLS-Konfiguration und Zertifikate, um sicherzustellen, dass alles noch ordnungsgemäß funktioniert. Tools wie SSL Labs können bei der Erkennung von Problemen helfen.

Durch die Befolgung dieser bewährten Praktiken für die sichere Verwaltung von Schlüsseln und Zertifikaten und die Aktualisierung von OpenSSL können Sie Ihre SSL/TLS-Einrichtung und die Daten Ihrer Benutzer besser schützen.

Überwachung von SSL-Zertifikaten

Die Überwachung Ihrer SSL-Zertifikate ist ein entscheidender Teil der Aufrechterhaltung einer sicheren und zuverlässigen Website. Abgelaufene oder falsch konfigurierte SSL-Zertifikate können zu Sicherheitslücken und einer schlechten Benutzererfahrung führen. Uptimia bietet einen SSL-Zertifikatsüberwachungsdienst an, der Ihnen hilft, den Zustand und die Gültigkeit Ihrer Zertifikate im Auge zu behalten. Mit Uptimia können Sie Benachrichtigungen erhalten, wenn ein Zertifikat kurz vor dem Ablauf steht oder technische Probleme aufweist, wie z.B. nicht übereinstimmende Domainnamen, schwache Verschlüsselungsalgorithmen oder ungültige Zertifikatsketten. Durch die proaktive Überwachung Ihrer SSL-Zertifikate mit Uptimia können Sie sicher sein, dass Ihre Website sicher und für Ihre Benutzer zugänglich bleibt.

Wichtige Erkenntnisse

  • Verwenden Sie den Befehl openssl version -a, um Ihre OpenSSL-Version, Build-Optionen und das Standard-Speicherverzeichnis für Zertifikate und Schlüssel zu identifizieren
  • Häufig verwendete OpenSSL-Befehle sind genrsa zur Erstellung privater Schlüssel, req zur Erstellung von CSRs, x509 zum Anzeigen und Konvertieren von Zertifikaten, pkcs12 zur Formatkonvertierung und s_client zum Testen sicherer Verbindungen
  • Bei der Erstellung privater Schlüssel wählen Sie zwischen RSA (empfohlen) und ECDSA-Algorithmen, verwenden Sie eine Schlüsselgröße von mindestens 2048 Bit für RSA oder 256 Bit für ECDSA und erwägen Sie die Verwendung einer Passphrase für zusätzliche Sicherheit
  • Verwenden Sie OpenSSL-Befehle, um Zertifikatsinformationen anzuzeigen, Schlüsselübereinstimmungen zu überprüfen, zwischen PEM-, PKCS#12- und DER-Formaten zu konvertieren, unterstützte Cipher Suites aufzulisten und Datei-Hashes zu erstellen
  • Befolgen Sie bewährte Praktiken wie die Erstellung starker privater Schlüssel, die Verwendung einer vertrauenswürdigen CA, die sichere Speicherung und Verwaltung von Schlüsseln und Zertifikaten und die Aktualisierung von OpenSSL, um Ihre SSL/TLS-Einrichtung zu schützen
Erhalten Sie Benachrichtigungen, wenn Ihre Website ausfällt
Verfügbarkeits- und Geschwindigkeits-Monitoring für Websites
Mehrstufiges Transaktions-Monitoring
SSL-Zertifikat-Status-Monitoring
Virus- und Malware-Monitoring
Statusseiten & Vorfallbenachrichtigungen
Ressourcen
Preise
Blog
Lernen
Fragen
Monitoring-Checkpoints
Kontakt
Öffentliche Roadmap
Sitemap
API-Dokumentation
Produkte
Uptime-Monitoring
Geschwindigkeits-Monitoring
Web-Transaktions-Monitoring
Real-User-Monitoring
SSL-Monitoring
Domain-Monitoring
Öffentliche Statusseite
Virus-Monitoring
Neu
Tools
Website-Verfügbarkeitstest
Verfügbarkeitsrechner
Cron-Ausdrucks-Generator
Cron-Ausdrucks-Beschreiber
Hex-zu-RGB-Konverter
RGB-zu-Hex-Konverter
Alle Tools anzeigen
Rechtliches
Datenschutzerklärung
Cookie-Richtlinie
Allgemeine Geschäftsbedingungen
DSGVO
© 2015-2024 Uptimia. Alle Rechte vorbehalten.
Deutsch Deutsch
English English
Deutsch Deutsch
Français Français