OpenSSL ist ein vielseitiges Tool zur Erstellung privater Schlüssel, zur Generierung von Zertifikatsignieranfragen (CSRs) und zur Verwaltung von SSL/TLS-Zertifikaten. Dieser Artikel behandelt die Identifizierung Ihrer OpenSSL-Version, die Verwendung gängiger OpenSSL-Befehle und die Befolgung bewährter Praktiken zur Sicherung Ihrer Schlüssel und Zertifikate.
Überprüfen Ihrer OpenSSL-Version
Identifizierung Ihrer OpenSSL-Version mit OpenSSL-Befehlen
Die Identifizierung der verwendeten OpenSSL-Version ist ein wichtiger erster Schritt bei der Vorbereitung zur Erstellung eines privaten Schlüssels oder einer CSR. Ihre OpenSSL-Version bestimmt, welche kryptografischen Algorithmen bei der Schlüsselerzeugung verwendet werden können und welche Protokolle unterstützt werden. Zum Beispiel war OpenSSL Version 1.0.1 die erste Version, die TLS 1.1 und TLS 1.2 unterstützte.
Verwenden Sie den Befehl openssl version -a
, um zu ermitteln, welche OpenSSL-Version Sie verwenden. Der Schalter -a
zeigt vollständige Versionsinformationen an, darunter:
- Die Versionsnummer und das Veröffentlichungsdatum (z.B. OpenSSL 1.0.2g 1 Mar 2016)
- Die Optionen, mit denen die Bibliothek erstellt wurde
- Das Verzeichnis, in dem Zertifikate und private Schlüssel gespeichert werden (OPENSSLDIR)
Hier ist ein Beispiel für die Ausgabe von openssl version -a
:
OpenSSL 1.0.2g 1 Mar 2016
built on: reproducible build, date unspecified
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(idx,cisc,16,int) blowfish(idx)
compiler: cc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -
D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -m64 -DL_ENDIAN -g -O2 -fstack-protector-
strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -Wl,-
Bsymbolic-functions -Wl,-z,relro -Wa,--noexecstack -Wall -DMD32_REG_T=int -
DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -
DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -
DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/lib/ssl"
Die Kenntnis Ihrer OpenSSL-Version ist wichtig, um zu bestimmen, welche kryptografischen Algorithmen und Protokolle bei der Erstellung von Schlüsseln und CSRs unterstützt werden. Die Ausgabe liefert wichtige Details wie die Versionsnummer, Build-Optionen und das Standard-Speicherverzeichnis für Zertifikate und Schlüssel.
Häufig verwendete OpenSSL-Befehle
OpenSSL bietet viele Befehle zur Erstellung privater Schlüssel, zur Generierung von CSRs, zur Installation von SSL/TLS-Zertifikaten und zur Identifizierung von Zertifikatsinformationen. Hier sind einige der am häufigsten verwendeten OpenSSL-Befehle:
openssl genrsa
: Erzeugt einen RSA-Privatschlüssel. Beispiel:openssl genrsa -out privatekey.key 2048
openssl req
: Erstellt eine CSR oder ein selbstsigniertes Zertifikat. Beispiel:openssl req -new -key privatekey.key -out csr.csr
openssl x509
: Zeigt Zertifikatsinformationen an, konvertiert Formate und signiert CSRs. Beispiel:openssl x509 -in cert.crt -text -noout
openssl pkcs12
: Konvertiert zwischen PFX-, PEM- und DER-Formaten. Beispiel:openssl pkcs12 -export -out cert.pfx -inkey privatekey.key -in cert.crt
openssl s_client
: Stellt eine sichere Verbindung zu einem entfernten Server her. Beispiel:openssl s_client -connect example.com:443
Mit diesen Befehlen können Sie wichtige Aufgaben wie die Erstellung starker privater Schlüssel, die Generierung von CSRs mit den erforderlichen Informationen, die Installation und Konfiguration von SSL/TLS-Zertifikaten und das Auffinden von Problemen durchführen.
OpenSSL-Befehlsstruktur und Optionen
Die meisten OpenSSL-Befehle folgen einer einheitlichen Struktur:
openssl command [options] [arguments]
command
gibt die auszuführende Operation an, wie z.B.genrsa
,req
oderx509
.[options]
ändern das Verhalten des Befehls. Optionen beginnen normalerweise mit einem Bindestrich (-
) und können einen Wert haben.[arguments]
liefern zusätzliche Informationen, die der Befehl benötigt, wie z.B. Ein- und Ausgabedateipfade.
Einige häufig verwendete Optionen sind:
-in
: Gibt den Eingabedateipfad an.-out
: Gibt den Ausgabedateipfad an.-keyout
: Gibt den Pfad zum Schreiben des neuen privaten Schlüssels an.-pubout
: Gibt den öffentlichen Schlüssel eines privaten Schlüssels oder einer CSR aus.-text
: Gibt den Inhalt eines Zertifikats im Klartext-Format aus.-noout
: Verhindert die Ausgabe der codierten Zertifikatsdaten.
Zum Beispiel verwendet der Befehl openssl x509 -in cert.crt -text -noout
den x509
-Befehl, um die Zertifikatsinformationen im Klartext anzuzeigen, ohne die codierten Daten auszugeben.
Das Erlernen dieser OpenSSL-Befehlsstrukturen und häufig verwendeten Optionen wird Ihnen helfen, OpenSSL effektiv für Ihre SSL/TLS-Zertifikatanforderungen zu nutzen.
Generierung privater Schlüssel und CSRs mit OpenSSL
Auswahl der Optionen zur Schlüsselerzeugung
Bei der Erstellung eines privaten Schlüssels für Ihr SSL/TLS-Zertifikat müssen Sie zwischen den RSA- und ECDSA-Schlüsselalgorithmen wählen. RSA wird weithin unterstützt und für die Kompatibilität empfohlen. Sie müssen auch eine Schlüsselgröße von mindestens 2048 Bit für RSA oder 256 Bit für ECDSA wählen. Größere Schlüssellängen bieten mehr Sicherheit, können aber die Leistung beeinträchtigen.
Eine weitere Entscheidung ist, ob Sie eine Passphrase zur Verschlüsselung des privaten Schlüssels verwenden möchten. Die Verwendung einer Passphrase fügt eine zusätzliche Sicherheitsebene hinzu, erfordert aber die Eingabe bei jeder Verwendung des Schlüssels. Passphrasen können nützlich sein, wenn der Schlüssel möglicherweise unbefugtem Zugriff ausgesetzt ist.
Erstellung Ihres privaten Schlüssels mit OpenSSL-Befehlen
Um einen 2048-Bit-RSA-Privatschlüssel zu erstellen, verwenden Sie den Befehl:
openssl genrsa -out ihredomain.key 2048
Dies erzeugt eine Privatschlüsseldatei mit dem Namen ihredomain.key
im PEM-Format. Sie können den rohen, codierten Inhalt des Schlüssels mit folgendem Befehl anzeigen:
cat ihredomain.key
Oder decodieren Sie ihn, um die Schlüsseldetails anzuzeigen:
openssl rsa -text -in ihredomain.key -noout
Extrahieren Ihres öffentlichen Schlüssels aus dem privaten Schlüssel
Die erstellte Privatschlüsseldatei enthält sowohl den privaten als auch den öffentlichen Schlüssel. Bei Bedarf können Sie nur den öffentlichen Schlüssel mit folgendem Befehl extrahieren:
openssl rsa -in ihredomain.key -pubout -out ihredomain_public.key
Dies erstellt eine Datei mit dem Namen ihredomain_public.key
, die den öffentlichen Schlüssel im PEM-Format enthält.
Erstellung Ihrer CSR
Um eine Certificate Signing Request (CSR) mit Ihrem privaten Schlüssel zu erstellen, verwenden Sie:
openssl req -new -key ihredomain.key -out ihredomain.csr
Dies fordert Sie auf, Fragen zu Ihrem Unternehmen und Ihrer Domain zu beantworten, die in die CSR aufgenommen werden sollen. Alternativ können Sie alle CSR-Details im Befehl mit der Option -subj
angeben:
openssl req -new -key ihredomain.key -out ihredomain.csr \
-subj "/C=DE/ST=Berlin/L=Berlin/O=Ihr Unternehmen/OU=IT/CN=ihredomain.de"
Sie können auch den privaten Schlüssel und die CSR zusammen in einem Befehl erstellen:
openssl req -newkey rsa:2048 -keyout ihredomain.key -out ihredomain.csr
Überprüfung der CSR-Informationen
Bevor Sie Ihre CSR an eine Zertifizierungsstelle (CA) senden, überprüfen Sie, ob die Informationen korrekt sind:
openssl req -text -in ihredomain.csr -noout -verify
Dies zeigt die CSR-Details im Klartext an. Wenn Informationen falsch sind, müssen Sie eine neue CSR erstellen. Falsche Details können aufgrund der digitalen Signatur nicht ohne Erstellung einer neuen CSR geändert werden.
Durch die Kenntnis dieser Optionen zur Schlüsselerzeugung und OpenSSL-Befehle können Sie starke private Schlüssel und CSRs erstellen, die auf Ihre SSL/TLS-Zertifikatanforderungen zugeschnitten sind.
Verwaltung von Zertifikaten
Anzeigen von Zertifikatsinformationen
Nachdem Sie Ihr SSL/TLS-Zertifikat von der Zertifizierungsstelle (CA) erhalten haben, sollten Sie überprüfen, ob die Details des Zertifikats mit Ihrem privaten Schlüssel übereinstimmen. Verwenden Sie diesen Befehl, um den Inhalt Ihres Zertifikats anzuzeigen:
openssl x509 -text -in ihredomain.crt -noout
Dies zeigt die Zertifikatsinformationen im Klartext ohne die codierten Daten an. Achten Sie auf den Abschnitt "Subject Public Key Info", um die Details des öffentlichen Schlüssels zu sehen. Stellen Sie sicher, dass diese mit dem öffentlichen Schlüssel in Ihren CSR- und Privatschlüsseldateien übereinstimmen.
Überprüfung der Übereinstimmung Ihrer Schlüssel
Um zu überprüfen, ob der private Schlüssel Ihres Zertifikats, die CSR und das ausgestellte Zertifikat alle den gleichen öffentlichen Schlüssel haben, können Sie den öffentlichen Schlüssel aus jeder Datei extrahieren und einen Hash davon erstellen. Wenn die Hashes übereinstimmen, sind die Schlüssel identisch.
Verwenden Sie diese Befehle, um den Hash des öffentlichen Schlüssels für jede Datei zu erhalten:
openssl pkey -pubout -in ihredomain.key | openssl sha256
openssl req -pubkey -in ihredomain.csr -noout | openssl sha256
openssl x509 -pubkey -in ihredomain.crt -noout | openssl sha256
Führen Sie jeden Befehl einzeln aus, um drei Hashes zu erhalten. Wenn alle Hashes gleich sind, stimmen die öffentlichen Schlüssel in Ihrem privaten Schlüssel, der CSR und dem Zertifikat überein.
Wenn die Hashes nicht übereinstimmen, bedeutet dies oft, dass die CSR auf einer anderen Maschine erstellt wurde als dort, wo das Zertifikat installiert wird. Um Schlüsselabweichungen zu beheben, können Sie entweder:
- Den privaten Schlüssel von der CSR-Maschine auf die Zertifikat-Maschine übertragen
- Das Zertifikat auf der Maschine installieren, die den passenden privaten Schlüssel hat
- Einen neuen privaten Schlüssel und eine neue CSR auf der Maschine erstellen, die das Zertifikat verwenden wird
Konvertierung von Zertifikatsformaten
Standardmäßig erstellt OpenSSL private Schlüssel und CSRs im PEM-Format. Es kann jedoch erforderlich sein, sie für bestimmte Systeme in andere Formate wie PKCS#12 oder DER zu konvertieren.
Um ein PEM-Zertifikat und einen privaten Schlüssel in eine PKCS#12-Datei (.pfx
oder .p12
) für die Übertragung zu konvertieren:
openssl pkcs12 -export -name "ihredomain-digicert-(Ablaufdatum)" \
-out ihredomain.pfx -inkey ihredomain.key -in ihredomain.crt
Dies kombiniert Ihren privaten Schlüssel ihredomain.key
und das Zertifikat ihredomain.crt
in einer ihredomain.pfx
-Datei. Die Option -name
legt einen benutzerfreundlichen Namen fest, der die Domain und das Ablaufdatum enthält. Sie werden aufgefordert, ein Verschlüsselungspasswort für die .pfx
-Datei einzugeben.
Um eine .pfx
-Datei zurück in das PEM-Format zu konvertieren, verwenden Sie separate Befehle für den Schlüssel und das Zertifikat:
openssl pkcs12 -in ihredomain.pfx -nocerts -out ihredomain.key -nodes
openssl pkcs12 -in ihredomain.pfx -nokeys -clcerts -out ihredomain.crt
Der erste Befehl extrahiert den privaten Schlüssel und der zweite extrahiert das Zertifikat. Die Option -nodes
entfernt die Verschlüsselung des privaten Schlüssels.
Um zwischen PEM- und DER-Formaten zu konvertieren, verwenden Sie die Befehle x509
und rsa
mit den Schaltern -inform
und -outform
:
openssl x509 -inform PEM -in ihredomain.crt -outform DER -out ihredomain.der
openssl rsa -inform PEM -in ihredomain.key -outform DER -out ihredomain_key.der
Diese Befehle konvertieren ein PEM-Zertifikat in DER und einen PEM-Privatschlüssel in DER. Um von DER zurück zu PEM zu gelangen, tauschen Sie einfach die Werte von -inform
und -outform
aus.
Durch die Verwendung dieser OpenSSL-Befehle zum Anzeigen, Überprüfen und Konvertieren Ihrer SSL/TLS-Zertifikate und Schlüssel können Sie diese ordnungsgemäß verwalten und auf Ihren Servern wie Apache Tomcat oder IIS installieren.
Auflistung von Cipher Suites
Cipher Suites sind Sätze von Algorithmen, die zur Sicherung von Netzwerkverbindungen mit SSL/TLS verwendet werden. Sie umfassen Schlüsselaustausch-, Authentifizierungs-, Verschlüsselungs- und Hash-Algorithmen. Um zu sehen, welche Cipher Suites Ihre OpenSSL-Version unterstützt, verwenden Sie den folgenden Befehl:
openssl ciphers -v
Dies zeigt die vollständigen Namen jeder unterstützten Cipher Suite an. Die Namen folgen einem Format wie:
Protokoll-Schlüsselaustausch-Authentifizierung-Verschlüsselung-Hash
Zum Beispiel verwendet TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
:
- TLS-Protokoll
- ECDHE-Schlüsselaustausch
- RSA-Authentifizierung
- AES-256-Verschlüsselung im GCM-Modus
- SHA384-Hash
Die Kenntnis dieser Namensbestandteile kann bei der Auswahl von Cipher Suites helfen, die Ihren Sicherheits-, Kompatibilitäts- und Leistungsanforderungen entsprechen.
Erstellung und Überprüfung von Hashes
Hashes sind einzigartige, feste Zusammenfassungen von Daten. Sie helfen bei der Überprüfung der Integrität von Dateien und Nachrichten. Verwenden Sie OpenSSL-Befehle, um Hashes von Schlüsseln und Zertifikaten zu erstellen:
openssl dgst -sha256 ihredomain.key
openssl dgst -sha256 ihredomain.csr
openssl dgst -sha256 ihredomain.crt
Diese erstellen SHA-256-Hashes Ihrer Privatschlüssel-, CSR- und Zertifikatsdateien. Sie können sha256
durch andere Hash-Algorithmen wie md5
, sha1
oder sha512
ersetzen.
Um die Integrität einer Datei zu überprüfen, erstellen Sie einen Hash und vergleichen Sie ihn mit einem bekannten korrekten Hash-Wert. Wenn sie übereinstimmen, wurde die Datei nicht verändert. Dies wird häufig bei Dateidownloads verwendet, um sicherzustellen, dass sie nicht beschädigt oder verändert wurden.
Durch die Auflistung unterstützter Cipher Suites und die Erstellung von Datei-Hashes können Sie Ihre SSL/TLS-Einrichtung mit OpenSSL besser absichern und überprüfen.
Fehlersuche und Problemlösung
Häufige OpenSSL-Probleme und ihre Lösungen
Bei der Arbeit mit OpenSSL zur Erstellung von Schlüsseln, CSRs und der Installation von SSL/TLS-Zertifikaten können einige häufige Probleme auftreten. Hier sind einige Probleme und wie Sie sie beheben können:
-
Probleme bei der Zertifikatsinstallation und -konfiguration: Überprüfen Sie, ob die Zertifikatsdateipfade in Ihrer Webserver-Konfiguration korrekt sind. Stellen Sie sicher, dass das Zertifikat und der private Schlüssel in den richtigen Formaten (PEM oder PKCS#12) vorliegen, die Ihr Server benötigt.
-
Abweichungen zwischen privatem Schlüssel und Zertifikat: Überprüfen Sie, ob der zur Erstellung der CSR verwendete private Schlüssel mit dem bei der Zertifikatsinstallation verwendeten übereinstimmt. Vergleichen Sie die Hashes der öffentlichen Schlüssel in den Dateien des privaten Schlüssels, der CSR und des Zertifikats. Wenn sie nicht übereinstimmen, erstellen Sie die CSR mit dem korrekten privaten Schlüssel neu.
-
Probleme mit Dateiberechtigungen und -eigentum: Überprüfen Sie, ob die Dateien des privaten Schlüssels und des Zertifikats die richtigen Berechtigungen und Eigentümer für Ihren Webserver-Prozess haben. Beispielsweise müssen Sie unter Linux möglicherweise die Berechtigungen mit
chmod 400 ihredomain.key
und das Eigentum mitchown www-data:www-data ihredomain.key
setzen. -
Fehler bei OpenSSL-Befehlen: Wenn Sie Fehler bei der Ausführung von OpenSSL-Befehlen erhalten, überprüfen Sie die Syntax, Optionen und Dateipfade. Stellen Sie sicher, dass Sie die richtigen Befehle für Ihre OpenSSL-Version verwenden und die Dateien im richtigen Format vorliegen.
Identifizierung von TLS-Versionen und Konfigurationen
Es ist wichtig zu überprüfen, ob Ihr OpenSSL und Webserver für die Verwendung der neuesten TLS-Versionen und starken Cipher Suites konfiguriert sind. So können Sie das überprüfen:
-
Überprüfen Sie die TLS-Versionsunterstützung Ihres OpenSSL: Verwenden Sie den Befehl
s_client
, um die für eine Verbindung verwendete TLS-Version zu sehen:openssl s_client -connect ihredomain.de:443 -tls1_2
Ersetzen Sie
ihredomain.de
durch Ihren Domainnamen. Die Option-tls1_2
testet eine TLS 1.2-Verbindung. Sie können sie durch-tls1
,-tls1_1
oder-tls1_3
ersetzen, um andere Versionen zu testen. Eine erfolgreiche Verbindung bedeutet, dass diese TLS-Version unterstützt wird. -
Überprüfen Sie die TLS-Konfiguration Ihres Webservers: Prüfen Sie die SSL/TLS-Einstellungen Ihres Webservers, um sicherzustellen, dass er für die Verwendung von TLS 1.2 oder 1.3 konfiguriert ist und nicht alte Versionen wie SSL 3.0 oder TLS 1.0 verwendet. In Apache könnten Sie beispielsweise Einstellungen wie diese sehen:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 SSLCipherSuite HIGH:!aNULL:!MD5
Dies deaktiviert SSL 3.0, TLS 1.0 und TLS 1.1, während es Cipher Suites mit hoher Stärke aktiviert. Prüfen Sie die Dokumentation Ihres Webservers für die richtigen TLS-Konfigurationseinstellungen.
-
Verwenden Sie SSL/TLS-Testtools: Online-Tools wie der SSL Labs Server Test können die SSL/TLS-Einrichtung Ihres Servers überprüfen und Probleme mit dem Zertifikat, den Protokollversionen oder Cipher Suites aufdecken.
Durch das Erkennen und Beheben dieser häufigen OpenSSL-Probleme und die Sicherstellung einer sicheren TLS-Einrichtung können Sie Ihre SSL/TLS-Konfiguration für Ihre Domains besser debuggen und Probleme beheben.
Bewährte Praktiken
Sichere Verwaltung privater Schlüssel und Zertifikate
Private Schlüssel sind die Grundlage Ihrer SSL/TLS-Sicherheit. Es ist wichtig, sie ordnungsgemäß zu erstellen, zu speichern und zu schützen. Hier sind einige bewährte Praktiken:
- Erstellen Sie private Schlüssel mit mindestens 2048-Bit RSA oder 256-Bit ECDSA für starke Sicherheit
- Verwenden Sie eine Passphrase zur Verschlüsselung der privaten Schlüsseldatei für eine zusätzliche Schutzebene
- Speichern Sie private Schlüssel an einem sicheren Ort mit strikten Zugangskontrollen, wie einem verschlossenen Safe oder einem verschlüsselten Hardware-Sicherheitsmodul (HSM)
- Beschränken Sie den Zugriff auf private Schlüssel auf nur die Administratoren, die ihn unbedingt benötigen
- Teilen Sie private Schlüssel niemals über unsichere Kanäle wie E-Mail oder Messaging
- Rotieren und aktualisieren Sie private Schlüssel regelmäßig, insbesondere wenn die Möglichkeit einer Kompromittierung besteht
Auch SSL/TLS-Zertifikate müssen sorgfältig verwaltet und eingesetzt werden. Einige Richtlinien umfassen:
- Verwenden Sie eine zuverlässige und vertrauenswürdige Zertifizierungsstelle (CA) zur Ausstellung Ihrer Zertifikate
- Wählen Sie den richtigen Zertifikatstyp für Ihre Bedürfnisse, wie Single-Domain, Multi-Domain oder Wildcard
- Übermitteln Sie die Certificate Signing Request (CSR) sicher an die CA, z.B. über ein verschlüsseltes Webformular oder per E-Mail
- Speichern Sie Zertifikate an einem geschützten Ort mit begrenztem Zugang für Administratoren
- Installieren und konfigurieren Sie Zertifikate ordnungsgemäß auf Ihren Webservern, Load Balancern und anderen SSL/TLS-Endpunkten
- Behalten Sie die Ablaufdaten der Zertifikate im Auge und erneuern Sie sie vor Ablauf, um Ausfallzeiten zu vermeiden
- Ersetzen Sie Zertifikate, wenn der private Schlüssel kompromittiert wurde oder das Zertifikat aus irgendeinem Grund widerrufen werden muss
OpenSSL auf dem neuesten Stand halten
Die Verwendung der neuesten OpenSSL-Version ist wichtig, um die neuesten Sicherheitskorrekturen, Protokoll- und Algorithmusunterstützung sowie Funktionen zu erhalten. ÄltereVersionen können bekannte Schwachstellen aufweisen, die von Angreifern ausgenutzt werden können.
Überprüfen Sie Ihre OpenSSL-Version mit openssl version
und vergleichen Sie sie mit den neuesten Veröffentlichungen auf der OpenSSL-Website. Wenn Sie nicht die neueste Version verwenden, aktualisieren Sie sie so bald wie möglich.
Der Aktualisierungsprozess hängt von Ihrem Betriebssystem und Ihrer Umgebung ab:
- Unter Linux verwenden Sie Ihren Paketmanager, um die neueste OpenSSL-Version zu installieren. Zum Beispiel unter Ubuntu oder Debian:
sudo apt update sudo apt install openssl
- Unter Windows laden Sie den neuesten OpenSSL-Installer oder die Binärdateien von der offiziellen Website oder einem vertrauenswürdigen Drittanbieter herunter. Ersetzen Sie Ihr altes OpenSSL-Verzeichnis durch die neue Version.
- Für Programmiersprachen und Frameworks wie Python, Ruby oder Node.js aktualisieren Sie die von ihnen verwendete OpenSSL-Bibliothek. Dies kann bedeuten, dass Sie die Sprache/das Framework selbst oder SSL/TLS-Wrapper-Bibliotheken aktualisieren müssen.
- Auf Webservern wie Apache oder Nginx aktualisieren Sie die Serverversion oder OpenSSL-Module, um die neueste Version zu erhalten. Prüfen Sie die Serverdokumentation für spezifische Aktualisierungsanweisungen.
Nachdem Sie OpenSSL aktualisiert haben, testen Sie unbedingt Ihre SSL/TLS-Konfiguration und Zertifikate, um sicherzustellen, dass alles noch ordnungsgemäß funktioniert. Tools wie SSL Labs können bei der Erkennung von Problemen helfen.
Durch die Befolgung dieser bewährten Praktiken für die sichere Verwaltung von Schlüsseln und Zertifikaten und die Aktualisierung von OpenSSL können Sie Ihre SSL/TLS-Einrichtung und die Daten Ihrer Benutzer besser schützen.
Überwachung von SSL-Zertifikaten
Die Überwachung Ihrer SSL-Zertifikate ist ein entscheidender Teil der Aufrechterhaltung einer sicheren und zuverlässigen Website. Abgelaufene oder falsch konfigurierte SSL-Zertifikate können zu Sicherheitslücken und einer schlechten Benutzererfahrung führen. Uptimia bietet einen SSL-Zertifikatsüberwachungsdienst an, der Ihnen hilft, den Zustand und die Gültigkeit Ihrer Zertifikate im Auge zu behalten. Mit Uptimia können Sie Benachrichtigungen erhalten, wenn ein Zertifikat kurz vor dem Ablauf steht oder technische Probleme aufweist, wie z.B. nicht übereinstimmende Domainnamen, schwache Verschlüsselungsalgorithmen oder ungültige Zertifikatsketten. Durch die proaktive Überwachung Ihrer SSL-Zertifikate mit Uptimia können Sie sicher sein, dass Ihre Website sicher und für Ihre Benutzer zugänglich bleibt.
Wichtige Erkenntnisse
- Verwenden Sie den Befehl
openssl version -a
, um Ihre OpenSSL-Version, Build-Optionen und das Standard-Speicherverzeichnis für Zertifikate und Schlüssel zu identifizieren - Häufig verwendete OpenSSL-Befehle sind
genrsa
zur Erstellung privater Schlüssel,req
zur Erstellung von CSRs,x509
zum Anzeigen und Konvertieren von Zertifikaten,pkcs12
zur Formatkonvertierung unds_client
zum Testen sicherer Verbindungen - Bei der Erstellung privater Schlüssel wählen Sie zwischen RSA (empfohlen) und ECDSA-Algorithmen, verwenden Sie eine Schlüsselgröße von mindestens 2048 Bit für RSA oder 256 Bit für ECDSA und erwägen Sie die Verwendung einer Passphrase für zusätzliche Sicherheit
- Verwenden Sie OpenSSL-Befehle, um Zertifikatsinformationen anzuzeigen, Schlüsselübereinstimmungen zu überprüfen, zwischen PEM-, PKCS#12- und DER-Formaten zu konvertieren, unterstützte Cipher Suites aufzulisten und Datei-Hashes zu erstellen
- Befolgen Sie bewährte Praktiken wie die Erstellung starker privater Schlüssel, die Verwendung einer vertrauenswürdigen CA, die sichere Speicherung und Verwaltung von Schlüsseln und Zertifikaten und die Aktualisierung von OpenSSL, um Ihre SSL/TLS-Einrichtung zu schützen