Aysad Kozanoglu - Mimarist

Server Howtos & Tutorials

SHA-256 SSL Verschlüsselung - selbst signierte Zertifikaterstellung

18 April, 2016 | promt tools
openssl dgst --help

Die Ausgabe enthält die warnung "unkwon option", was uns jetzt nicht beschäftigen soll, uns bringt die Ausgabeliste ans Ziel.

In der Liste muss 256 SHA und weitere unterstützte Versclüsselungsalgorithmen auftauchen

 

etwa so:

-c to output the digest with separating colons
-r to output the digest in coreutils format
-d to output debug info
-hex output as hex dump
-binary output in binary form
-hmac arg set the HMAC key to arg
-non-fips-allow allow use of non FIPS digest
-sign file sign digest using private key in file
-verify file verify a signature using public key in file
-prverify file verify a signature using private key in file
-keyform arg key file format (PEM or ENGINE)
-out filename output to filename rather than stdout
-signature file signature to verify
-sigopt nm:v signature parameter
-hmac key create hashed MAC with key
-mac algorithm create MAC (not neccessarily HMAC)
-macopt nm:v MAC algorithm parameters or key
-engine e use engine e, possibly a hardware device.
-md4 to use the md4 message digest algorithm
-md5 to use the md5 message digest algorithm
-ripemd160 to use the ripemd160 message digest algorithm
-sha to use the sha message digest algorithm
-sha1 to use the sha1 message digest algorithm
-sha224 to use the sha224 message digest algorithm
-sha256 to use the sha256 message digest algorithm
-sha384 to use the sha384 message digest algorithm
-sha512 to use the sha512 message digest algorithm
-whirlpool to use the whirlpool message digest algorithm

Wenn in der Liste die sha256 aufgelistet ist dann kann man mit openssl die Generierung anstossen.

Nun Zertifikat mit  SHA 256 / SHA 512 generieren:

openssl req -x509 -nodes -sha256 -days 999 -newkey rsa:2048 -keyout server.key -out server.crt

Vorsicht: bei SHA 512 können einige Browser probleme haben, da manche Browser nur bis  max bis 256bit unterstützen. mit 256bit ist man vorerst auf der sicheren Seite. Nichts hält uns davon ab 512bit zu verschlüsseln. Jedem seins.

 Nun Zertifikat verifizieren

openssl x509 -noout -text -in server.crt

 

In der Ausgabe etwa in der 5. / 6. Zeile muss folgendes stehen:

 Signature Algorithm: sha256WithRSAEncryption

 

Ende gut alles gut. Nun kann man die Zertifikate bei Webserver oder Mailserver nutzen.

wichtig: Falls die Zertifikate für Mailserver gedacht ist, dann muss man während der Generierungsabfrage(n) bei der Common name die FQDN (also mail.deineserveradresse.de) eingeben, FQDN ist unter Domain MX Eintrag zu finden.yuhuuu.

 

 Nützliche Links:

http://techglimpse.com/sha256-hash-certificate-openssl/