Erinevus lehekülje "OpenSSL" redaktsioonide vahel

Allikas: Kuutõrvaja
(Süsteemi koormustest)
(Wildcard sertifikaadi moodustamine)
36. rida: 36. rida:
 
  enter aes-256-cbc decryption password:
 
  enter aes-256-cbc decryption password:
  
===Wildcard sertifikaadi moodustamine===
+
===Sertifikaadipäringu moodustamine===
 +
 
 +
Sõltuvalt vajadustest võib kasutada avalikku teenust pakkuva PKI asutuse teenuseid, moodustada ise oma PKI (nt tarkvara TinyCA abil, http://tinyca.sm-zone.net/) või lihtsalt genereerida sama veebiserveri sertifikaadile vastava salajase võtmega allkirjastatud veebiserveri sertifikaat - endasigneeritud sertifikaat (ingl. k. self-signed certificate)
 +
 
 +
  $ openssl req -nodes -new -keyout www.loomaaed.tartu.ee.key -newkey rsa:1024 > www.loomaaed.tartu.ee.csr
 +
  ...
 +
  Country Name (2 letter code) [AU]: EE
 +
  State or Province Name (full name) [Some-State]: Tartu
 +
  Locality Name (eg, city) []:Tartu
 +
  Organization Name (eg, company) [Internet Widgits Pty Ltd]: Tartu Loomaaed
 +
  Organizational Unit Name (eg, section) []:
 +
  Common Name (eg, YOUR name) []: www.loomaaed.tartu.ee
 +
  Email Address []:
 +
 
 +
kus
 +
 
 +
* CN - common name, peab langema kokku selle teenuse aadressis kasutatava domeenimega, kus sertifikaati kasutama kavatsetakse hakata
 +
* parooli küsimusele vastata Enteriga.
 +
 
 +
===Endasigneeritud sertifikaadi moodustamine===
 +
 
 +
Endasigneeritud (ingl. k. self-signed) sertifikaadi tekitamiseks sobib öelda
 +
 
 +
  $ openssl x509 -req -days 3650 -in www.loomaaed.tartu.ee.csr -signkey www.loomaaed.tartu.ee.key \
 +
  -out www.loomaaed.tartu.ee.crt
 +
 
 +
Moodustatud sertifikaadi sisu saab esitada öeldes
 +
 
 +
  $ openssl x509 -in www.loomaaed.tartu.ee.crt -noout -text
 +
 
 +
===Wildcard sertifikaadipäringu moodustamine===
  
 
Wildcard sertifikaat erineb nö tavalisest sertifikaadist selle poolest, et CN väärtuseks ei ole üks konkreetne domeeninimi, vaid nt
 
Wildcard sertifikaat erineb nö tavalisest sertifikaadist selle poolest, et CN väärtuseks ei ole üks konkreetne domeeninimi, vaid nt

Redaktsioon: 18. aprill 2010, kell 14:09

Sissejuhatus

OpenSSL http://www.openssl.org/ on vaba tarkvaraline Secure Sockets Layer (SSL v2/v3) ja Transport Layer Security (TLS v1) protokollide implementatsioon. OpenSSL tarkvara sisaldab nii utiliite kui teeke, mis sobivad nt erinevates programmeerimiskeeltes OpenSSL funktsionaalsuse kasutamiseks.

Tänapäeval on OpenSSL iseseisev tarkava, kusjuures ta põhineb Eric A. Young ja Tim J. Hudson poolt arendatud SSLeay teegil.

Kontrollsummade arvutamine

  • SHA1
$ openssl dgst -sha1 /etc/fstab 
SHA1(/etc/fstab)= d3e23e40e9dcefcba35052dfdca2ba2bdcfba2eb
  • MD5
$ openssl dgst -md5 /etc/fstab 
MD5(/etc/fstab)= 88d91737675acdb76fd5777f1a45400a

Andmete krüptimine

  • base64, kusjuures tegu on nö teisendusega, mitte krüptimisega, echo -n ütleb mitte lisada reavahetust tulemuse lõppu
$ echo "Loomaaed" | openssl enc -base64
TG9vbWFhZWQK

$ echo TG9vbWFhZWQK  | openssl enc -base64 -d
Loomaaed
  • AES
$ openssl enc -aes-256-cbc -a -salt -in /etc/fstab -out /tmp/fstab.crypted
enter aes-256-cbc encryption password:
Verifying - enter aes-256-cbc encryption password:

$ openssl enc -d -aes-256-cbc -a -in /tmp/fstab.crypted -out /tmp/fstab
enter aes-256-cbc decryption password:

Sertifikaadipäringu moodustamine

Sõltuvalt vajadustest võib kasutada avalikku teenust pakkuva PKI asutuse teenuseid, moodustada ise oma PKI (nt tarkvara TinyCA abil, http://tinyca.sm-zone.net/) või lihtsalt genereerida sama veebiserveri sertifikaadile vastava salajase võtmega allkirjastatud veebiserveri sertifikaat - endasigneeritud sertifikaat (ingl. k. self-signed certificate)

 $ openssl req -nodes -new -keyout www.loomaaed.tartu.ee.key -newkey rsa:1024 > www.loomaaed.tartu.ee.csr
 ...
 Country Name (2 letter code) [AU]: EE
 State or Province Name (full name) [Some-State]: Tartu
 Locality Name (eg, city) []:Tartu
 Organization Name (eg, company) [Internet Widgits Pty Ltd]: Tartu Loomaaed
 Organizational Unit Name (eg, section) []:
 Common Name (eg, YOUR name) []: www.loomaaed.tartu.ee
 Email Address []:

kus

  • CN - common name, peab langema kokku selle teenuse aadressis kasutatava domeenimega, kus sertifikaati kasutama kavatsetakse hakata
  • parooli küsimusele vastata Enteriga.

Endasigneeritud sertifikaadi moodustamine

Endasigneeritud (ingl. k. self-signed) sertifikaadi tekitamiseks sobib öelda

  $ openssl x509 -req -days 3650 -in www.loomaaed.tartu.ee.csr -signkey www.loomaaed.tartu.ee.key \ 
  -out www.loomaaed.tartu.ee.crt

Moodustatud sertifikaadi sisu saab esitada öeldes

 $ openssl x509 -in www.loomaaed.tartu.ee.crt -noout -text

Wildcard sertifikaadipäringu moodustamine

Wildcard sertifikaat erineb nö tavalisest sertifikaadist selle poolest, et CN väärtuseks ei ole üks konkreetne domeeninimi, vaid nt

CN=*.loomaaed.tartu.ee

mis tabab kõiki neljanda taseme nimesid, nt mail.loomaaed.tartu.ee, www.loomaaed.tartu.ee jne, aga mitte pop3.mail.loomaaed.tartu.ee.

Sertfikaadi moodustamiseks sobib öelda nt

TODO

Šiffrid

$ openssl ciphers -v 'HIGH:MEDIUM:!ADH:!SSLv2'
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-DSS-AES256-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(256)  Mac=SHA1
AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
DHE-RSA-AES128-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA1
DHE-DSS-AES128-SHA      SSLv3 Kx=DH       Au=DSS  Enc=AES(128)  Mac=SHA1
AES128-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1
EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA    SSLv3 Kx=DH       Au=DSS  Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA            SSLv3 Kx=RSA      Au=RSA  Enc=3DES(168) Mac=SHA1
RC4-SHA                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=SHA1
RC4-MD5                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=MD5 

TLSv1

Klient

TODO

Server

TODO

OSCP

Klient

TODO

Server

TODO

Süsteemi koormustest

openssl utiliidi abils saab teha süsteemile koormustesti, nt kasutades RSA algoritmi

$ openssl speed rsa -multi 4 
...

timing function used: 
                  sign    verify    sign/s verify/s
rsa  512 bits 0.000100s 0.000008s   9981.7 126197.5
rsa 1024 bits 0.000462s 0.000020s   2162.9  49540.8
rsa 2048 bits 0.002469s 0.000062s    405.0  16227.5
rsa 4096 bits 0.015087s 0.000204s     66.3   4908.0

kus

  • rsa -
  • multi 4 - käivitatakse kõrvuti neli openssl protsessi

Parooli räsi arvutamine

man -l /usr/share/man/man1/passwd.1ssl.gz

$ openssl passwd -1 -salt FuuD4O1n parool
$1$FuuD4O1n$C5GFPLbrf4acwHd8new5

Kasulikud lisamaterjalid