OpenSSL: Welche Dateien sicherheitskritisch?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

OpenSSL: Welche Dateien sicherheitskritisch?

Beitrag von mrserious » 30.01.2017 10:52:10

Moin zusammen,

kleine Verwirrung bei mir zum Thema openssl:
Welche der Dateien sind nun kritisch?

Mir ist klar: den CA-key sollte ich sicher verwahren, denn er wird zum Signieren neuer Zertifikate gebraucht.
Wie ist das nun aber, wenn ich die CA in eine p12-Datei umwandle, damit sie auf Windows gelesen werden kann?

Code: Alles auswählen

openssl pkcs12 -export -in CA/cacert.pem -inkey CA/private/cakey.pem -out export/cacert.p12 -cacerts
Denn so wie ich das deute, wird der Key ja MIT in diese Datei geschrieben?
Andererseits brauche ich diese Datei ja auf Windows oder Android-Clients, damit die CA anerkannt wird. Dort möchte ich sie aber natürlich nicht haben, falls der CA-key tatsächlich mit importiert würde...
Nach oben
rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: OpenSSL: Welche Dateien sicherheitskritisch?

Beitrag von rendegast » 30.01.2017 15:50:51

Und wenn Du nur das Zertifikat benutzt.
Oder ein anderes Darstellungsformat (nur des Zertifikats), X.509-binär DER, X.509?

Die /etc/ssl/public/*.pem sind Format X.509
('openssl x509 -in ...pem -out output' ist bei mir identisch,
siehe auch
'openssl x509 -in ...pem -text'),
sind in windows importierbar, gerade ausprobiert.

Nach Änderung des Suffix (windows würde gerne haben *.cer oder *.crt,
binär DER als *.der) zeigt windows auch ein nettes icon.

Der Suffix-Filter in der Importmaske kann auch auf 'Alle Dateien *.*' gesetzt werden.
Zuletzt geändert von rendegast am 30.01.2017 16:51:53, insgesamt 1-mal geändert.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Nach oben
mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: OpenSSL: Welche Dateien sicherheitskritisch?

Beitrag von mrserious » 30.01.2017 16:29:19

Ok, also ein Import der der-Datei sollte kein Problem sein?

Der Vollständigkeit halber: Beim p12 hab ich also wirklich den CA-key mit drin?
Das Problem ist nämlich: Manche Android-Geräte möchten unbedingt ein p12...
Nach oben
Benutzeravatar
heisenberg
Beiträge: 3544
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: OpenSSL: Welche Dateien sicherheitskritisch?

Beitrag von heisenberg » 30.01.2017 16:39:49

Der Vollständigkeit halber: Beim p12 hab ich also wirklich den CA-key mit drin?
Das hat mich mal nerven gekostet. Im Endeffekt war dann der Key doch nicht drin. Ich musste die Option -nodes verwenden. Laut manpage ist der Schalter dazu da, dass der private Key nicht verschlüsselt wird.

Im Endeffekt würde ich auf jeden Fall sicherstellen, dass der Private Key enthalten ist. Z. B. in dem Du durch die erneute Extraktion des Keys aus dem p12 - File sicherstellst, dass er drin ist.
Jede Rohheit hat ihren Ursprung in einer Schwäche.
Nach oben
mrserious
Beiträge: 266
Registriert: 22.06.2013 12:12:03

Re: OpenSSL: Welche Dateien sicherheitskritisch?

Beitrag von mrserious » 30.01.2017 16:59:36

Hm, glaube wir missverstehen uns grad?
Klar: Beim Client möchte ich, dass der Key mit drin ist, weil er gebraucht wird.
Aber auf dem Client möchte ich doch keinesfalls meinen CA-Key mit importieren? Der wird doch generell nur "offline" benötigt?

Edit: -nokeys scheint das Problem zu beheben?

Code: Alles auswählen

openssl.cnf openssl pkcs12 -nokeys -export -in CA/cacert.pem -out export/cacert.p12 -cacerts
Edit2: Nein, dann meckert das Handy ;-)
Nach oben
Antworten

Zurück zu „Sicherheit“