In meinem Admin-Alltag kommt es sehr oft vor das ich mit\u00a0verschiedenen Arten und\u00a0 Formen von Zertifikaten zu tun habe. Mal zur Absicherung von Webservern, mal f\u00fcr Zug\u00e4nge zu WLANs oder Produkten, zum Absichern von Verbindungen (MySQL \/ MariaDB, Cyrus, Postfix) oder zum Einbau in Anwendungen bzw. Java Keystores. In allen F\u00e4llen hat es sich bisher als sehr praktisch erwiesen diverse\u00a0Konvertierungen selbst durchf\u00fchren zu k\u00f6nnen. Ich m\u00f6chte hier nach und nach alles vorstellen was ich bisher mehr als einmal gebraucht habe. Dabei nutze ich openssl unter Linux.<\/p>\n
<\/p>\n
openssl x509 -noout -text -in <zertifikatsname.crt><\/pre>\nPFX (pkcs12) nach PEM<\/h1>\n
Oft bekomme PFX Dateien. Diese beinhalten als Bundle alle die Zertifikate und Keys und auch alle Zwischenzertifikate (zumindest k\u00f6nnen diese Dateien das). Um die Zertifikate unter Linux zu nutzen ist es allerdings notwendig die PFX Datei in Ihre Einzelteile zu zerlegen.<\/p>\n
Die PFX Datei hei\u00dft in den Beispielen „meincert.pfx“.<\/p>\n
Zertifikat exportieren<\/h2>\n
openssl pkcs12 -in meincert.pfx -nokeys -out meincert.pem\r\nEnter Import Password:\r\nMAC verified OK\r\n<\/code><\/pre>\nHier sieht man wie der Export des Zertifikats abl\u00e4uft. Man ben\u00f6tigt dazu das Import Pa\u00dfwort\u00a0 des PFX. Es muss zwingend MAC verified OK<\/em> erscheinen ansonsten gab es ein Problem. Wei\u00df man das Passwort nicht, hat man im \u00fcbrigen verloren, die Datei ist Wertlos, das Zertifikat verloren.
\n<\/code><\/p>\nPrivate Key exportieren<\/h2>\n
openssl pkcs12 -in meincert.pfx -nocerts -out meinkey.pem -nodes<\/code><\/p>\nopenssl pkcs12 -in certmanager_X.pfx -nocerts -out meinkey.pem -nodes\r\nEnter Import Password:\r\nMAC verified OK<\/pre>\nDer Vorgang l\u00e4uft recht \u00e4hnlich ab wie der Export des Zertifikats. Auch hier ist wieder zwingend das MAC verified OK<\/em> erscheint. Der Private Key ist, wie der Name schon sagt, sehr schutzbed\u00fcrftig. Er ist der Weg zum entschl\u00fcsseln der Daten und sollte m\u00f6glichst Geheim gehalten werden. Dazu kann man den Key auch mit einer Pa\u00dfphrase versehen werden, der jedes mal beim Laden eingegeben werden mu\u00df. Dar\u00fcber wie ein Private Key angemessen zu sch\u00fctzen ist gibt es Ansichten und auch praktische Beschr\u00e4nkungen. Wenn man neu in dem Thema ist sollte man das ausf\u00fchrlich ergoogeln.<\/p>\n
Pa\u00dfphrase vom Private Key entfernen<\/h1>\n
M\u00f6chte man die Pa\u00dfphrase von einem Private Key entfernen, z.B. um beim Neustart eines Dienstes nicht immer die Pa\u00dfphrase eingeben zu m\u00fcssen tut man folgendes:<\/p>\n
openssl rsa -in meinkey.pem -out meinkeyohnepassphrase.pem<\/code><\/pre>\nMan mu\u00df sich allerdings klar machen, das es damit einen riesigen Nachteil gibt. Erbeutet jemand dieses Key kann er Ihn einfach dazu nutzen Daten zu entschl\u00fcsseln, er mu\u00df nichts machen au\u00dfer die Datei zu besitzen. Normalerweise sch\u00fctzt die Pa\u00dfphrase vor diesem Mi\u00dfbrauch.<\/p>\n
Intermediate Zertifikate in PFX (pkcs12) integrieren<\/h1>\n
Ab und an kommt es vor das ich ein PFX bekomme bei dem nicht alle Intermediate Zertifikate integriert sind. Das ist gerade f\u00fcr Windows User schlecht, die das File Importieren und damit erwarten das alles erledigt ist. Dies kann zu unvollst\u00e4ndigen Zertifikatsketten (Broken Chains) f\u00fchren damit zur Abwertung des Zertifikats bzw. zur nicht Anerkennung in Browsern oder Software.<\/p>\n
Hat man nun den Fall mu\u00df man leider erst mal das PFX wie oben Beschrieben in Schl\u00fcssel (Key) und Zertifikat zerlegen. Um anschlie\u00dfend wieder alles zusammen zu bauen.<\/p>\n
openssl pkcs12 -in meincert.pfx -nokeys -out meincert.pem<\/code> #cert extrahieren openssl pkcs12 -in certmanager_X.pfx -nocerts -out meinkey.pem -nodes # key extrahieren<\/pre>\nNun ben\u00f6tigt man noch die Intermediate Zertifikate der austellenden Stelle (Thawte, Comodo, Positiv SSL, Rapid SSL, Geo Trust, etc.). Die k\u00f6nnen auf der Webseite runtergeladen werden. Oft ist das nicht ganz einfach, vor allem wenn man nicht genau wei\u00df welches Produkt es ist.<\/p>\n
Aus den intermediate Zertifikat(en) baut man sich nun eine Datei die die ganze Kette (Chain) enth\u00e4lt. Dazu f\u00fcgt man einfach den Inhalt der Dateien hintereinander in eine Datei ein. Wichtig ist dabei das die Zertifikate in der richtigen Reihenfolge<\/strong> sind. Also intermediate1 -> intermediate2 -> intermediate<N>. Nur dann funktioniert das ganze sp\u00e4ter. Dabei mu\u00df man auch darauf achten das Zeilenumbr\u00fcche eingehalten werden und keine Leerzeilen in der Datei sind. Bei Commodo sind in den Dateien beispielsweise nach dem letzten Zeichen keine Zeilenumbr\u00fcche mehr enthalten so das man schnell Probleme bekommt.<\/p>\n
Eine fertige Datei mit zwei Intermediate Zertifikaten sieht dann so aus (chain.crt):<\/p>\n
-----BEGIN CERTIFICATE-----\r\nMIIGDjCCA\/agAwIBAgIQNoJ<....>\r\n-----END CERTIFICATE-----\r\n-----BEGIN CERTIFICATE-----\r\nMIIFdDCCBFygAwIBAgIQJ2b<....>\r\n-----END CERTIFICATE----<\/pre>\nNun haben wir also 3 Dateien, das Zertifikat, den Schl\u00fcssel und die Chain Datei. Diese f\u00fcgen wir jetzt mit openssl zu einem PFX (pkcs12) zusammen.<\/p>\n
openssl pkcs12 -export -out meinneues.pfx -inkey meinkey.pem -in meincert.pem -certfile chain.crt<\/pre>\nPEM zu DER Konvertieren<\/h1>\n
openssl x509 -outform der -in meincert.pem -out meincert.de<\/pre>\nDER zu PEM Konvertieren<\/h1>\n
openssl x509 -inform der -in certificate.cer -out certificate.pem<\/pre>\nPr\u00fcfen ob ein Zertifikat zu einem Key passt<\/h1>\n
openssl x509 -noout -modulus -in meincert.crt | openssl md5\r\nopenssl rsa -noout -modulus -in meinkey.key | openssl md5<\/pre>\nWenn die md5sums passen, dann passen auch Key und Zertfikat zusammen.<\/p>\n","protected":false},"excerpt":{"rendered":"
In meinem Admin-Alltag kommt es sehr oft vor das ich mit\u00a0verschiedenen Arten und\u00a0 Formen von Zertifikaten zu tun habe. Mal zur Absicherung von Webservern, mal f\u00fcr Zug\u00e4nge zu WLANs oder Produkten, zum Absichern von Verbindungen (MySQL \/ MariaDB, Cyrus, Postfix) … Weiterlesen