Seite 1 von 1
OpenSSL: Welche Dateien sicherheitskritisch?
Verfasst: 30.01.2017 10:52:10
von mrserious
Moin zusammen,
kleine Verwirrung bei mir zum Thema openssl:
Welche der Dateien sind nun kritisch?
Mir ist klar: den CA-key sollte ich sicher verwahren, denn er wird zum Signieren neuer Zertifikate gebraucht.
Wie ist das nun aber, wenn ich die CA in eine p12-Datei umwandle, damit sie auf Windows gelesen werden kann?
Code: Alles auswählen
openssl pkcs12 -export -in CA/cacert.pem -inkey CA/private/cakey.pem -out export/cacert.p12 -cacerts
Denn so wie ich das deute, wird der Key ja MIT in diese Datei geschrieben?
Andererseits brauche ich diese Datei ja auf Windows oder Android-Clients, damit die CA anerkannt wird. Dort möchte ich sie aber natürlich nicht haben, falls der CA-key tatsächlich mit importiert würde...
Re: OpenSSL: Welche Dateien sicherheitskritisch?
Verfasst: 30.01.2017 15:50:51
von rendegast
Und wenn Du nur das Zertifikat benutzt.
Oder ein anderes Darstellungsformat (nur des Zertifikats), X.509-binär DER, X.509?
Die /etc/ssl/public/*.pem sind Format X.509
('openssl x509 -in ...pem -out output' ist bei mir identisch,
siehe auch
'openssl x509 -in ...pem -text'),
sind in windows importierbar, gerade ausprobiert.
Nach Änderung des Suffix (windows würde gerne haben *.cer oder *.crt,
binär DER als *.der) zeigt windows auch ein nettes icon.
Der Suffix-Filter in der Importmaske kann auch auf 'Alle Dateien *.*' gesetzt werden.
Re: OpenSSL: Welche Dateien sicherheitskritisch?
Verfasst: 30.01.2017 16:29:19
von mrserious
Ok, also ein Import der der-Datei sollte kein Problem sein?
Der Vollständigkeit halber: Beim p12 hab ich also wirklich den CA-key mit drin?
Das Problem ist nämlich: Manche Android-Geräte möchten unbedingt ein p12...
Re: OpenSSL: Welche Dateien sicherheitskritisch?
Verfasst: 30.01.2017 16:39:49
von heisenberg
Der Vollständigkeit halber: Beim p12 hab ich also wirklich den CA-key mit drin?
Das hat mich mal nerven gekostet. Im Endeffekt war dann der Key doch nicht drin. Ich musste die Option
-nodes verwenden. Laut manpage ist der Schalter dazu da, dass der private Key nicht verschlüsselt wird.
Im Endeffekt würde ich auf jeden Fall sicherstellen, dass der Private Key enthalten ist. Z. B. in dem Du durch die erneute Extraktion des Keys aus dem p12 - File sicherstellst, dass er drin ist.
Re: OpenSSL: Welche Dateien sicherheitskritisch?
Verfasst: 30.01.2017 16:59:36
von mrserious
Hm, glaube wir missverstehen uns grad?
Klar: Beim Client möchte ich, dass der Key mit drin ist, weil er gebraucht wird.
Aber auf dem Client möchte ich doch keinesfalls meinen CA-Key mit importieren? Der wird doch generell nur "offline" benötigt?
Edit: -nokeys scheint das Problem zu beheben?
Code: Alles auswählen
openssl.cnf openssl pkcs12 -nokeys -export -in CA/cacert.pem -out export/cacert.p12 -cacerts
Edit2: Nein, dann meckert das Handy
