Schlagwort-Archive: SSL Zertifikat

Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann.

Let’s Encrypt auf CentOS 7 mit Apache

Installation von Let’s Encrypt auf CentOS 7 mit Apache

Let’s Encrypt ist eine Zertifizierungsstelle, die kostenlose X.509-Zertifikate für Transport Layer Security (TLS) anbietet. In diesem Tutorial wird erläutert, wie man Let´s Encrypt SSL anhand des ACME Vorgang mit certbot durchführt, und Let’s Encrypt auf einem CentOS 7 Host mit Apache-Webserver implementiert.

  Vorausgesetzt wird hier, das der Apache-Webserver bereits installiert ist, die Domain als Apache VirtualHost konfiguriert ist, und die Domain im DNS auflösbar ist, mit einem A-Record in der Forward-Zone dieser Domain, oder für IPv6 ein Quad-A-Record für den Server eingetragen ist. Weiter muss für das ACME Challenge der Server über Port 80 erreichbar sein.

Zur installation wollen wir root werden.

Nun den Apache-Webserver neu starten.

Die Firewall für SSL mit dem Service Port 443 öffnen.

Jetzt durch den certbot das SSL-Zertifikat generieren lassen.

  Die erste Domäne sollte die Basis Domain sein. In diesem Beispiel heißt sie mydomain.com, diese durch den tatsächlichen Domain-Name ersetzen.

Die Ausgabe des certbot sieht in etwa wie folgt aus.

Abschließend kann die URL getestet werden.

Die URL im Browser abrufen und bei SSL Labs verifizieren.

SSL Labs SSL Analyzing Report

Das Let’s Encrypt Zertifikat ist 90 Tage gültig. Für die automatische Erneuerung des Zertifikats, erstellen wir ein neuen Cron-Job.

Das Zertifikat wird einmal in der Woche um Mitternacht zur Erneuerung überprüft.

 
Beitrag Teilen!

Let’s Encrypt SSL-Zertifikat für Synology

Let’s Encrypt Zertifikat Erstellen

Let’s Encrypt Zertifikate mit einfacher Bereitstellung und Anwendung für Synology DSM.

Die Vorteile von Let’s Encrypt Zertifikate sind, dass sie automatisiert sind, eine kurze Lebensdauer von 90 Tage haben, und dass sie völlig KOSTENLOS sind!

Let’s Encrypt ist eine offene Zertifizierungsstelle (Certificate Authority, CA), und eine Dienstleistung der Internet Security Research Group (ISRG).

Im folgenden eine Kurzanleitung zur Installation von Let’s Encrypt SSL auf einer Synology DiskStation oder RackStation.

Voraussetzungen bevor es los geht.

  • Ein eigener Domain-Name wie zB. MaxMusterBilder.ch wird vorausgesetzt.
  • Der DDNS-Dienst von Synology kann hilfreich sein und die Nutzung ist kostenlos.
  • Ein CNAME-DNS Eintrag bei einem DNS Registrator, um Anfragen an den DDNS-Dienst weiterzuleiten.
  • Aktivieren der Weiterleitung von Port 80 auf dem Router zum NAS, Let’s Encrypt benötigt zur Validierung den HTTP Zugang, ohne wird es nicht funktionieren.

Let’s Encrypt SSL auf Synology NAS Installieren.

 

Anmelden zum NAS und im DSM navigieren zu: Systemsteuerung> Sicherheit> Zertifikat – und auf Hinzufügen klicken.

Wähle Neues Zertifikat hinzufügen.

Wähle Zertifikat von Let’s Encrypt abrufen und aktiviere, Als Standardzertifikat festlegen.

Gib nun abschließend dein Domainname und deine E-Mail-Adresse ein und wähle Übernehmen.

Von nun an erhält dein Synology NAS das Let’s Encrypt SSL-Zertifikat und startet die Webdienste automatisch neu. Jetzt kannst Du mit https://nas.maxmusterbilder.ch verschlüsselt auf die Webseiten auf dem NAS zugreifen. Alle 90 Tage erneuert das Synology NAS das Let’s Encrypt SSL-Zertifikat automatisch.

Möchte man mehrere SSL-Zertifikate nutzen, ist es möglich die Zertifikate über den Button Konfigurieren zu verwalten.

Die Synology Web Station sollte natürlich für Web Projekte zuvor installiert sein.

Quellen Links:  letsencrypt.org  Synology DSM Zertifikate verwalten

 

Beitrag Teilen!

Selbst signierte Zertifikate Erstellen

OpenSSL Kryptographie-Tool

OpenSSL ist ein vielseitiges Kommandozeilen-Tool, das für eine Vielzahl von Kryptographischen Aufgaben im Zusammenhang mit Public Key Infrastructure (PKI) und HTTPS (HTTP über TLS) verwendet werden kann.

Dieses Tutorial zeigt die Anwendung von OpenSSL für Zertifikate die für asymmetrische Verschlüsselung in Beta und Testaufgaben eingesetzt werden, die für interne oder in Entwicklungsumgebungen eingesetzt werden. Die mit kosten verbunden, CSR Certificate Signing Request Zertifikate lohnen sich für Testzwecke nicht die von einem Trusted CA Zertifikatsaussteller ausgestellt werden. Hierzu in einem Beispiel die Generierung eines privaten Schlüssels mit Zertifikat Ausstellung und dessen Signierung.

Open Secure Socket Layer protocol

Selbst signiertes Zertifikat erstellen

Bei diesem Beispiel wird ein Privater Schlüssel mit einer länge von 4096 bit generiert, dieser 10 Jahre gültig ist, es werden die X509 Distinguished Key Identifier definiert, mit der Verschlüsselung des SHA256 Algorithmus, abschliessend wird das Zertifikat selbst signiert.

Das so generierte Self-signed certificat dient zur Kryptographischen Verschlüsselung für HTTPS / TLS Server und Client, Code Signing, IP End Point Security (SSL-VPN) oder für S/MIME – E-Mail.

Das Zertifikat cert.crt wird anschliessend im Zertifikatspeicher importiert, dies zu Vertrauenswürdige Stammzertifizierungsstellen und zu den Eigenen Zertifikate.

Zertifikat-Snap-In
Abbildung: Zertifikat-Snap-In

OpenSSL – Open Secure Socket Layer protocol gehört bei den meisten Linux Distributionen zum Standard, die Windows Binaries stehen auf sourceforge zur Verfügung.

XCA – X Certificate Key Management

Wer mit dem OpenSSL Kommandozeilen-Tool nicht vertraut ist, kann das Tool X Zertifikat – xca verwenden, dieses in einer GUI sämtliche Optionen bietet.

X Zertifikat und Key Management ist eine Schnittstelle für die Verwaltung von asymmetrischen Schlüsseln wie RSA oder DSA. Es ist für die Erstellung und Signierung von Zertifikaten gedacht. Für die kryptographischen Operationen wird die OpenSSL-Bibliothek verwendet.

Features

  • Start own PKI and create all kinds of certificates, requests or CRLs
  • Import and export in any format like PEM, DER, PKCS#7, PKCS#12
  • Use them for your IPsec, OpenVPN, HTTPs or any other certificate based setup
  • Manage your Smart-Cards via PKCS#11 interface
  • Export certificates and requests to a OpenSSL config file
  • Create Subject- and/or Extension- templates to ease issuing similar certs
  • Convert existing certificates or requests to templates
  • Get the broad support of x509v3 extensions as flexible as OpenSSL but user friendlier
  • Adapt the Columns to have your important information at a glance

Download bei sourceforge

X-Certificate-Key-management
Abbildung: X Certificate and Key management

Bevor Schlüssel und Zertifikate generiert werden können, muss eine Datenbank mit <Ctrl+N> angelegt werden. Nach dem generieren eines Privaten Schlüssels kann ein neues Zertifikat erzeugt werden. Die Privaten Schlüssel sollten Passwort geschützt aufbewahrt werden. Wird ein Privater Schlüssel für unautorisierte verfügbar, ist das Zertifikat nicht mehr sicher und muss ersetzt werden.

Schlüssel und Zertifikat überprüfen

Privat Key Prüfen und ausgeben

Zertifikat anzeigen

Certificate Signing Request Prüfen und ausgeben

Überprüfung des Privaten Schlüssels, des CSR und des Zertifikates auf Echtheit.

Wenn die Ausgabe jedes Befehls identisch ist, ist die Wahrscheinlichkeit sehr hoch, dass das Zertifikat und der CSR mit dem private Schlüssel verwandt sind.

Beitrag Teilen!