Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?

5/8/2018 Keytool, OpenSSL und Co. Wofür nehme ich was und Warum? - slidepdf.com

http://slidepdf.com/reader/full/keytool-openssl-und-co-wofuer-nehme-ich-was-und-warum-559ac0d3c381a 1/116

Keytool, OpenSSL und Co.Wofür nehme ich was und Warum?

Jan Dittberner

Communardo Software GmbH, Dresden

05.05.2011

. . . . . .

mailto:[email protected]



Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines

Sym. Verschlüsselung

Asym. Verschlüsselung

PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge

Zertifikatslebenszyklus

Informationen zu

Krypomaterial

Zertifikate konvertieren

TLS-Tests mit OpenSSL

eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Zusammenfassung

Kryptografie ist ein recht komplexes Thema, verbundenmit vielen Begriffen und Abkürzungen. In diesemVortrag werden Begriffe erklärt und in Zusammenhanggebracht und die praktische Anwendung vonWerkzeugen insbesondere im Java-Umfeld gezeigt.




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

BegriffserklärungenAllgemeinesSymmetrische/Secret-Key Verschlüsselung

Asymmetrische/Public-Key VerschlüsselungPKI-BegriffeSonstiges

Dateiformate

ZertifikatlebenszyklusPraktisches

WerkzeugeZertifikatslebenszyklus

Informationen zu KrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?

Anhang




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Allgemeines

Message Digest Hashfunktion, die möglichst kollisionsfreiNachrichten auf einen Zahlenwert abbilden,

gängige Vertreter sind MD5, SHA-1 und dieSHA-2-Familie (SHA-224, SHA-256, SHA-384,SHA-512)




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines

Sym. VerschlüsselungAsym. Verschlüsselung

PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Allgemeines



MAC, Message Authentication Code kryptografisch

gesicherte Prüfsumme für eine Nachricht, mitder Integrität und Authentizität geprüft werdenkönnen




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Allgemeines





HMAC Verwendung eines mit einem symmetrischenVerschlüsselungsverfahren verschlüsselten

Message Digests als MAC




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Allgemeines





HMAC Verwendung eines mit einem symmetrischenVerschlüsselungsverfahren verschlüsselten

Message Digests als MACSignatur mit einem asymmetrischen Verfahren

verschlüsselter Message Digest einer Nachricht




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Symmetrische/Secret-Key Verschlüsselung

alle Beteiligten haben den gleichen geheimen Schlüssel

Abbildung: symmetrische Ver- und Entschlüsselung




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Symmetrische/Secret-Key Verschlüsselung

alle Beteiligten haben den gleichen geheimen Schlüssel

der geheime Schlüssel wird für Ver- und Entschlüsselung

verwendet

Abbildung: symmetrische Ver- und Entschlüsselung




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Symmetrische Verschlüsselung

geheimer Schlüssel, secret key gemeinsamer geheimerSchlüssel der Kommunikationspartner bei

symmetrischen Verschlüsselungsverfahren




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



symmetrischen VerschlüsselungsverfahrenDES, Data Encryption Standard inzwischen als veraltet

angesehenes symmetrischesVerschlüsselungsverfahren mit einer

Schlüssellänge von 56 Bit




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




angesehenes symmetrischesVerschlüsselungsverfahren mit einerSchlüssellänge von 56 Bit

3DES, Tripple DES, DESede Interimslösung vor Einführungvon AES bei der DES-Verschlüsselung-Entschlüsselung-Verschlüsselung mit dreiunterschiedlichen Schlüsseln durchgeführt wird

(siehe Wikipedia [1, Triple-DES])




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




angesehenes symmetrischesVerschlüsselungsverfahren mit einerSchlüssellänge von 56 Bit

3DES, Tripple DES, DESede Interimslösung vor Einführungvon AES bei der DES-Verschlüsselung-Entschlüsselung-Verschlüsselung mit dreiunterschiedlichen Schlüsseln durchgeführt wird

(siehe Wikipedia [1, Triple-DES])AES, Advanced Encryption Standard, Rijndael aktuelles

symmetrisches Verschlüsselungsverfahren mitSchlüssellängen von 128, 192 oder 256 Bit




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Asymmetrische/Public-Key Verschlüsselung

jeder Kommunikationspartner hat einen geheimenprivaten Schlüssel und veröffentlicht einen öffentlichen

Schlüssel

Abbildung: asymmetrische Ver- und Entschlüsselung




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



Schlüssel der private Schlüssel dient dazu Signaturen anzufertigen

und Nachrichten zu entschlüsseln


K l O SSL




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



Schlüssel der private Schlüssel dient dazu Signaturen anzufertigen

und Nachrichten zu entschlüsseln

der öffentliche Schlüssel dient dazu Nachrichten zu

verschlüsseln und Signaturen zu prüfen


K t l O SSL




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Asymmetrische Verschlüsselung - Schlüssel

privater Schlüssel, private key geheimer Teil eines

Schlüssels, der für Signaturen undEntschlüsselung verwendet werdenkann

Keytool OpenSSL

S




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




öffentlicher Schlüssel, public key öffentlicher Teileines Schlüssels, der zumVerschlüsseln und zum Prüfen vonSignaturen verwendet werden kann

Keytool OpenSSL

A h V hl l S hl l




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




öffentlicher Schlüssel, public key öffentlicher Teileines Schlüssels, der zum

Verschlüsseln und zum Prüfen vonSignaturen verwendet werden kann

Schlüsselpaar, key pair ein Paar aus öffentlichemund dazugehörigem privatem

Schlüssel

Keytool OpenSSL

A i h V hlü l RSA El l




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Asymmetrische Verschlüsselung - RSA, Elgamal

RSA asymmetrisches Verschlüsselungs-und Signatur-Verfahren (benannt

nach den Erfindern Rivest, Shamirund Adleman) beruht auf demProblem große Zahlen in ihrePrimfaktoren zu zerlegen (Wikipediazu RSA-Kryptosystem [2])

Keytool, OpenSSL

A t i h V hlü l RSA El l




Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Asymmetrische Verschlüsselung - RSA, Elgamal

RSA asymmetrisches Verschlüsselungs-und Signatur-Verfahren (benannt

nach den Erfindern Rivest, Shamirund Adleman) beruht auf demProblem große Zahlen in ihrePrimfaktoren zu zerlegen (Wikipediazu RSA-Kryptosystem [2])

Elgamal asymmetrisches Verschlüsselungs-und Signatur-Verfahren, beruht auf dem Problem des diskretenLogarithmus (Wikipedia zu

Elgamal-Kryptosystem [3])

Keytool, OpenSSL

A t i h V hlü l DSA ECDSA




y , p

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Asymmetrische Verschlüsselung - DSA, ECDSA

DSA, Digital Signature Algorithm im Auftrag derUS-Regierung entwickeltes Verfahren für

digitale Signaturen

Keytool, OpenSSL

As t is h V s hlüss l DSA ECDSA




y

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Asymmetrische Verschlüsselung - DSA, ECDSA

DSA, Digital Signature Algorithm im Auftrag derUS-Regierung entwickeltes Verfahren für

digitale SignaturenECDSA, Elliptic Curve DSA erweiterte Variante von DSA,

die statt großen Primzahlen Punkte auf elliptischen Kurven als Schlüsselwerteverwendet

Keytool, OpenSSL

Asymmetrische Verschlüsselung DH und ECDH




und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Asymmetrische Verschlüsselung - DH und ECDH

DH, Diffie-Hellman Verfahren für den Austausch vonSession-Schlüsseln über unsichere Kanäle

(siehe Wikipedia [4]). Diffie-Hellman istGrundlage des Elgamal-Kryptosystems (basiertauf diskreten Logarithmen)

Keytool, OpenSSL

Asymmetrische Verschlüsselung DH und ECDH




und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




ECDH, Elliptic curve Diffie–Hellman verwendet elliptischeKurven statt große Zufallszahlen

Keytool, OpenSSL

d CAsymmetrische Verschlüsselung DH und ECDH




und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




ECDH, Elliptic curve Diffie–Hellman verwendet elliptischeKurven statt große Zufallszahlen

Abbildung: Prinzip des Diffie-Hellman-Schlüsselaustauschs, Quelle:Wikipedia

Keytool, OpenSSL

d CBegriffe aus dem PKI Umfeld Teil 1




und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Begriffe aus dem PKI-Umfeld - Teil 1

PKI, Public Key Infrastructure System zum Beantragen,Ausstellen, Verteilen und Prüfen von

Zertifikaten

Keytool, OpenSSL

und CoBegriffe aus dem PKI-Umfeld - Teil 1




und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Begriffe aus dem PKI-Umfeld - Teil 1


ZertifikatenCA, Certicate Authority eine CA stellt Zertifikate für

öffentliche Schlüssel aus und garantiert damitdie Zugehörigkeit des privaten Schlüssels zuseinem Besitzer

Keytool, OpenSSL





und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Begriffe aus dem PKI Umfeld Teil 1


ZertifikatenCA, Certicate Authority eine CA stellt Zertifikate für

öffentliche Schlüssel aus und garantiert damitdie Zugehörigkeit des privaten Schlüssels zuseinem Besitzer

Zertifikat ein Zertifikat ist ein digital signierter PublicKey mit zusätzlichen Attributen

Keytool, OpenSSL





und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .


X.509 ITU-T-Standard für eine PKI, fordert einhierarchisches System von vertrauenswürdigen

Zertifizierungsstellen (CAs), Zertifikaten undSperrlisten

Keytool, OpenSSL

und Co.Begriffe aus dem PKI-Umfeld - Teil 2




und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




PKIX IETF-Profil von X.509 welches konkrete Detailsfür Zertifikate und CRLs, sowieX.509-Extensions definiert (RFC-5280 [5])

Keytool, OpenSSL





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




PKIX IETF-Profil von X.509 welches konkrete Detailsfür Zertifikate und CRLs, sowieX.509-Extensions definiert (RFC-5280 [5])

CSR, Certificate Signing Request wird mit dem privatenSchlüssel signiert und an eine CA zumSignieren gegeben, enthält Wünsche fürParameter des Zertifikats (Subject und

X.509-Extensions), spezifiziert in RFC-2986 [6]

Keytool, OpenSSL





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

g

CRL, Certificate Revocation List Zertifikatssperrlistenwerden von CAs herausgegeben um

widerrufene Zertifikate bekanntzugeben

Keytool, OpenSSL





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

g

CRL, Certificate Revocation List Zertifikatssperrlistenwerden von CAs herausgegeben um

widerrufene Zertifikate bekanntzugebenOCSP, Online Certificate Status Protocol ein meist per

HTTP zur Verfügung gestellter Dienst der CAsum direkt zu prüfen, ob ein Zertifikatwiderrufen wurde

Keytool, OpenSSL

und Co.Sonstige Begriffe




Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

g g

PKCS, Public Key Cryptography Standard eine Serie vonDokumenten zu kryptografischen Verfahren der

Firma RSA-Laboratories [7] viele davon sind inanderen Standards aufgenommen worden

Keytool, OpenSSL





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

g g



ASN.1, Abstract Syntax Notation One Standard fürTextbeschreibung von Binärcodierung mit derdie Daten fast aller kryptografischen Verfahren

in den jeweiligen Standards beschrieben werden(siehe Wikipedia [8])

Keytool, OpenSSL





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



ASN.1, Abstract Syntax Notation One Standard fürTextbeschreibung von Binärcodierung mit derdie Daten fast aller kryptografischen Verfahren

in den jeweiligen Standards beschrieben werden(siehe Wikipedia [8])

CMS, Cryptographic Message Syntax Standard für dieSignierung und Verschlüsselung von

Nachrichten, nutzt X.509-Infrastruktur fürSchlüssel (spezifiziert in RFC-5652 [9])

Keytool, OpenSSL





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

S/MIME Standard für Signatur und Verschlüsselung vonMIME-Nachrichten auf Basis von CMS,

benötigt X.509-Zertifikate, wird hauptsächlichfür E-Mail, kann aber auch für Web Servicesund andere MIME-Anwendungen verwendetwerden (spezifiziert in RFC-3851 [10])

Keytool, OpenSSL






Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



SSL, Secure Sockets Layer, TLS, Transport Layer Security

hybride Verschlüsselung fürSocket-Verbindungen. TLS ist der von derIETF standardisierte Nachfolger von SSL(TLS 1.2 spezifiziert in RFC-5246 [11])

Keytool, OpenSSL






Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



SSL, Secure Sockets Layer, TLS, Transport Layer Security

hybride Verschlüsselung fürSocket-Verbindungen. TLS ist der von derIETF standardisierte Nachfolger von SSL(TLS 1.2 spezifiziert in RFC-5246 [11])

TLS-Handshake Verfahren zur Aushandlung derVerbindungsparameter bei TLS (guteBeschreibung in Wikipedia [12])

Keytool, OpenSSL






Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

PGP, OpenPGP Alternative für einige Anwendungsfälle vonX.509 (S/MIME, CMS), bei der die

Vertrauenswürdigkeit nicht durch eineHierarchie von CAs sondern durch einWeb-Of-Trust gewährleistet wird. PGP ist dieursprüngliche Software, OpenPGP der späterentwickelte Standard dazu

Keytool, OpenSSL






Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



GNUPG, GNU Privacy Guard freie, teils vomBundesministerium des Innern finanzierte,OpenPGP-Implementierung (in Version 2 auchmit S/MIME und X.509-Unterstützung)

Keytool, OpenSSL

und Co.

J Di b

Sonstige Begriffe





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



GNUPG, GNU Privacy Guard freie, teils vomBundesministerium des Innern finanzierte,OpenPGP-Implementierung (in Version 2 auchmit S/MIME und X.509-Unterstützung)

SSH-Keys RSA-, DSA oder ECDSA-Schlüssel fürVerwendung mit Secure Shell, in der Regelohne Signatur

Keytool, OpenSSL

und Co.

J Dittb

BegriffserklärungenAll i





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

AllgemeinesSymmetrische/Secret-Key VerschlüsselungAsymmetrische/Public-Key Verschlüsselung

PKI-BegriffeSonstiges

Dateiformate

Zertifikatlebenszyklus

PraktischesWerkzeugeZertifikatslebenszyklusInformationen zu Krypomaterial

Zertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?

Anhang

Keytool, OpenSSL

und Co.

Jan Dittberner





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Tabelle: Dateiformate für Schlüssel und Zertifikate

Format typische Dateiendungen

DER .der, .crtPEM .crt, .pem, .csr.pem, .key.pem

CSR .csr, .csr.pem

JKS .jks

PKCS#12 .pfx, .p12

Keytool, OpenSSL

und Co.

Jan Dittberner

DER-Format





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Dateiendungen

.der, .crt

Verwendung

ASN.1 DER (distinguished encoding rules) kodierteBinärform von X.509-Zertifikaten

Keytool, OpenSSL

und Co.

Jan Dittberner

PEM-Format





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Dateiendungen

.crt, .pem, .csr.pem, .key.pem

Verwendung

Base64-Variante von DER kodierten Zertifikaten, -Schlüsselnoder Certificate Signing Requests, die Art der Information istaus dem Dateianfang zu erkennen

Beispiel: RSA-Schlüssel

-----BEGIN RSA PRIVATE KEY-----

MIIEowIBAAKCAQEAnV9xp3adb8vNfljrPktWXfMk

kAElT1Zr7LZHWP1k1QkxPAzHa/ZBrpok9Cwxm3fh

...

APoP0gAuvgvv74V34z1IdwmpAuGc894US3uu5AKF

7cTsTFU2WaQ1bSq/DlZX1X5CB59ZFCQeCrQ+u75F

-----END RSA PRIVATE KEY-----

Keytool, OpenSSL

und Co.

Jan Dittberner

PEM-Format





Jan Dittberner

Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Dateiendungen


Verwendung


Beispiel: Certificate Signing Request

-----BEGIN CERTIFICATE REQUEST-----

MIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzAR

ITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5

...

yMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQq

Gn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T

-----END CERTIFICATE REQUEST-----

Keytool, OpenSSL

und Co.

Jan Dittberner

PEM-Format





Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Dateiendungen


Verwendung


Beispiel: X.509-Zertifikat

-----BEGIN CERTIFICATE-----

MIIDXTCCAkWgAwIBAgIJAN5wwO9NJQ/MMA0GCSqG

BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEw

...

HptNKsF1qNl0Hud//5colueA44Q4zwVdVk3tfG36

AQ==

-----END CERTIFICATE-----

Keytool, OpenSSL

und Co.

Jan Dittberner

PEM-Format





Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Dateiendungen


Verwendung


Beispiel: DSA-Schlüssel

-----BEGIN DSA PRIVATE KEY-----

MIIDVgIBAAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUq

/M3n90/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbS

...

/uQ73RuPSaWYd2ZLp/XNdpok9FkBQEglLxKcBz7R

VsEJSEKeQgIhAOyJXfhC/dR9Ze/JMkfW0tdx+PiX

-----END DSA PRIVATE KEY-----

Keytool, OpenSSL

und Co.

Jan Dittberner

PEM-Format





Begriffe

Allgemeines


Asym. VerschlüsselungPKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Dateiendungen


Verwendung


Beispiel: DSA-Parameter

-----BEGIN DSA PARAMETERS-----

MIICLAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUqE789

90/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbSdMsf

...

vTtpWyBLmitxSbnW4v4kEbfJu2Id8xfd5kv2vmGe

FCjWnHvUSG9Za2R4pJ5fF4lqu/Nwg08Ccylt+a4z

-----END DSA PARAMETERS-----

Keytool, OpenSSL

und Co.

Jan Dittberner

CSR - Certificate Signing Request





Begriffe

Allgemeines



Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Dateiendungen

.csr, .csr.pem

Verwendung

in der Regel PEM-kodierter PKCS#10 Certificate SigningRequest, enthält Parameter für den Subject-Namen, optionalmit gewünschten X.509-Erweiterungen

Beispiel: CSR in PEM-Format

-----BEGIN CERTIFICATE REQUEST-----

MIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzAR

ITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5...

yMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQq

Gn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T

-----END CERTIFICATE REQUEST-----

Keytool, OpenSSL

und Co.

Jan Dittberner

JKS - Java Keystore




Begriffe

Allgemeines



Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Dateiendungen

.jks

Verwendung

Java-Keystore, proprietäres Format für KeyStores undTrustStores im Java-Umfeld, kann als vertrauenswürdigeingestufte Zertifikate und/oder Schlüsselpaare mit

zugehörigen Zertifikaten enthalten

Anmerkung

Standardpasswort (leider oft ungeändert) ist changeit

Keytool, OpenSSL

und Co.

Jan Dittberner

PKCS#12




Begriffe

Allgemeines



Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Dateiendungen

.p12, .pfx

Verwendung

Standardformat für mit passwortbasierten Verfahren (PBE,password based encryption) verschlüsselte Container fürSchlüsselpaare mit deren Zertifikaten

Anmerkung

Die mit dem JDK mitgelieferte PKCS#12-Implementierungist nur eingeschränkt standardkonform (kann z.B. keineZertifikate ohne private Schlüssel speichern)

Keytool, OpenSSL

und Co.

Jan Dittberner

BegriffserklärungenAllgemeines




Begriffe

Allgemeines



Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

gSymmetrische/Secret-Key VerschlüsselungAsymmetrische/Public-Key Verschlüsselung


Dateiformate




Anhang

Keytool, OpenSSL

und Co.

Jan DittbernerAbbildung: Das Leben eines Zertifikats




Begriffe

Allgemeines



Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

.

Schlüsselpaar

.Signing Request

.

CA-Key

.

Zertifikat

.

W i d e r

r u f

.

A b l a u

f

. E r

n e u e r n

Keytool, OpenSSL

und Co.

Jan Dittberner

BegriffserklärungenAllgemeines




Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Symmetrische/Secret-Key VerschlüsselungAsymmetrische/Public-Key Verschlüsselung


Dateiformate




Anhang

Keytool, OpenSSLund Co.

Jan Dittberner

keytool

Wird mit dem JDK mitgeliefert




Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



Jan Dittberner

keytool


http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html





Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .


kann mit JKS- und rudimentär mit PKCS#12-Keystores

umgehen


Jan Dittberner

keytool







Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



umgehen nutzt intern die JCE/JCA-APIs der Java-Runtime


Jan Dittberner

keytool







Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




rudimentär zum Erzeugen von Schlüsseln und CSRsgeeignet


Jan Dittberner

keytool







Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .





spezialisiert auf Verwaltung von Zertifikaten imJava-spezifischen JKS-Format


Jan Dittberner

keytool







Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .





spezialisiert auf Verwaltung von Zertifikaten imJava-spezifischen JKS-Format

http://download.oracle.com/javase/6/docs/

technotes/tools/windows/keytool.html


Jan Dittberner

OpenSSL

OpenSource-Crypto-Implementierung






Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

p yp p g


Jan Dittberner

OpenSSL


http://www.openssl.org/




Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

p yp p g

bietet Funktionen für fast jeden Anwendungsfall im

Bereich der Kryptografie


Jan Dittberner

OpenSSL






Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

p yp p g


Bereich der Kryptografie openssl als Kommandozeilen-Frontend einer

C-Bibliothek


Jan Dittberner

OpenSSL






Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .


Bereich der Kryptografie openssl als Kommandozeilen-Frontend einer

C-Bibliothek



Jan Dittberner

B iff

eigener Code

für einige Grenzfälle die OpenSSL nicht abdeckt





Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .


Jan Dittberner

B iff

eigener Code


http://www.bouncycastle.org/java.html

http://chandlerproject.org/bin/view/Projects/MeTooCrypto




Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

für dynamische Erzeugung von Keys-, CSRs- oder

Zertifikaten z.B. für Tests


Jan Dittberner

Begriffe

eigener Code







Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

für dynamische Erzeugung von Keys-, CSRs- oder

Zertifikaten z.B. für Tests kann z.B. mit der openssl-Library (C), m2crypto

(Python) oder dem JDK in Zusammenarbeit mitBouncyCastle implementiert werden


Jan Dittberner

Begriffe

eigener Code







Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

für dynamische Erzeugung von Keys-, CSRs- oderZertifikaten z.B. für Tests

kann z.B. mit der openssl-Library (C), m2crypto(Python) oder dem JDK in Zusammenarbeit mitBouncyCastle implementiert werden

Aufwand meist recht hoch, also erst prüfen was openssl

und keytool schon können


Jan Dittberner

Begriffe

Tabelle: Entscheidungsmatrix für Crypto-Werkzeuge - Teil 1






Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge

ZertifikatslebenszyklusInformationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

gut geeignet eingeschränkt geeignet nicht geeignetAnwendungsfall keytool openssl eigenesRSA-Key erzeugenCSR erzeugenZertifikat (self-signed) erzeu-gen

Zertifikat aus CSR signierenInformationen aus JKS anzei-genInformationen aus PEM an-zeigen


Jan Dittberner

Begriffe





Begriffe

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

gut geeignet eingeschränkt geeignet nicht geeignetAnwendungsfall keytool openssl eigenesKeyPair als PEM speichernKeyPair aus PEM in JKS im-portierenKeyPair aus PKCS#12 in

JKS importierenKey und Zertifikat inPKCS#12 umwandelnZertifikat in JKS importieren


Jan Dittberner

Begriffe





g

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

gut geeignet eingeschränkt geeignet nicht geeignetAnwendungsfall keytool openssl eigenesVerwendung als CACRL erzeugenZertifikat gegen CRL prüfenTLS-Verbindung testen

OCSP-Testserver betreibenZertifikat gegen OCSP prü-fen


Jan Dittberner

Begriffe

Zertifikats-Lebenszyklus

Beispiele der Verwendung von OpenSSL und keytool




g

Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Erzeugen von Keys, CSRs, CRLs und Zertifikaten

Widerrufen von Zertifikaten Test-OCSP-Endpoint und OCSP-Client


Jan Dittberner

Begriffe

Abbildung: Das Leben eines Zertifikats




Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

.

Schlüsselpaar

.Signing Request

.

CA-Key

.

Zertifikat

.

W i d e r

r u f

.

A b l a

u f

. E r n e u

e r n


Jan Dittberner

Begriffe

OpenSSL - Schlüssel und CSRs erzeugen Key erzeugen

openssl genrsa out rsatest1 key pem 2048




Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

openssl genrsa -out rsatest1.key.pem 2048


Jan Dittberner

Begriffe


openssl genrsa -out rsatest1 key pem 2048




Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

openssl genrsa -out rsatest1.key.pem 2048

CSR erzeugenopenssl req -new -key rsatest1.key.pem -out

csrtest1.csr.pem


Jan Dittberner

Begriffe






Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

openssl genrsa out rsatest1.key.pem 2048


csrtest1.csr.pem

Key und CSR gemeinsam erzeugenopenssl req -new -newkey rsa:2048 -nodes

-keyout rsatest2.key.pem -outcsrtest2.csr.pem


Jan Dittberner

Begriffe






Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



csrtest1.csr.pem



CSR-Informationen anzeigenopenssl req -in csrtest2.csr.pem -noout -text


Jan Dittberner

Begriffe






Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .



csrtest1.csr.pem



CSR-Informationen anzeigenopenssl req -in csrtest2.csr.pem -noout -text

Über eine angepasste openssl-Konfigurationsdatei könnendem CSR auch gleich gewünschte X.509-Erweiterungenmitgegeben werden [13, clientcsr.conf]


Jan Dittberner

Begriffe

All i

Schlüssel und CSRs erzeugen - keytool Key erzeugen

keytool -genkeypair -keystore teststore1.jks




Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

y g yp y j-storepass secret -alias testkey3 -keyalg

rsa -keysize 2048 erzeugt auch gleich ein self-signed Zertifikat, weil

Keystores immer ein Zertifikat zum Key brauchen die bei -genkeypair gemachten Angaben für den

Subject-DN können später nicht mehr geändert werden


Jan Dittberner

Begriffe

Allgemeines

Schlüssel und CSRs erzeugen - keytool Key erzeugen

keytool -genkeypair -keystore teststore1.jks




Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

y g yp y j-storepass secret -alias testkey3 -keyalg

rsa -keysize 2048 erzeugt auch gleich ein self-signed Zertifikat, weil

Keystores immer ein Zertifikat zum Key brauchen die bei -genkeypair gemachten Angaben für den

Subject-DN können später nicht mehr geändert werden

CSR erzeugenkeytool -certreq -keystore teststore1.jks

-storepass secret -alias testkey3 -file

csrtest3.csr.pem


Jan Dittberner

Begriffe

Allgemeines

Zertifikate erzeugen mit OpenSSL self-signed Zertifikat erzeugen

openssl req -new -x509 -key rsatest1.key.pem




Allgemeines



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

p q y y p

-out rsatest1.crt.pem


Jan Dittberner

Begriffe

Allgemeines

Zertifikate erzeugen mit OpenSSL self-signed Zertifikat erzeugen

openssl req -new -x509 -key rsatest1.key.pem




ge e es



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

p q y y p

-out rsatest1.crt.pem

CSR mit CA-Key unterschreibenopenssl ca -in csrtest1.csr.pem -out

crttest1.crt.pem

(Aufsetzen einer CA siehe [13, createca.sh])


Jan Dittberner

Begriffe

Allgemeines

CRLs mit OpenSSL Zertifikat mit CA-Key widerrufen

openssl ca -revoke crttest1.crt.pem




g



PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

p p

(trägt das Zertifikat in der Zertifikatsdatenbank als

widerrufen ein)


Jan Dittberner

Begriffe

Allgemeines








PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur


widerrufen ein) CRL signieren

openssl ca -gencrl -out myca.crl

(Informationen über widerrufene Zertifikate kommen

aus der Zertifikatsdatenbank)


Jan Dittberner

Begriffe

Allgemeines








PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .


widerrufen ein) CRL signieren

openssl ca -gencrl -out myca.crl

(Informationen über widerrufene Zertifikate kommen

aus der Zertifikatsdatenbank) Prüfen ob Zertifikat in CRL ist

openssl verify -CApath cadir -crl_check

crttest1.crt.pem

(CA-Zertifikate und CRLs müssen in cadir liegen und

richtig verlinkt sein [13, cacrllink.sh])


Jan Dittberner

Begriffe

Allgemeines

OCSP mit OpenSSL OCSP-Endpoint starten

openssl ocsp -index index.txt -CA






PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

ca/myca.crt.pem -rsigner ca/myca.crt.pem

-rkey ca/private/myca.key.pem -port 8080-nmin 10

(mehr dazu in meinem OCSP-Blogpost [14])


Jan Dittberner

Begriffe

Allgemeines

OCSP mit OpenSSL OCSP-Endpoint starten

openssl ocsp -index index.txt -CA






PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

ca/myca.crt.pem -rsigner ca/myca.crt.pem

-rkey ca/private/myca.key.pem -port 8080-nmin 10

(mehr dazu in meinem OCSP-Blogpost [14])

OCSP-Prüfung für Zertifikat durchführen

openssl ocsp -issuer myca.crt.pem -certcerttest1.crt.pem -url http://cahost:8080/

-resp_text


Jan Dittberner

Begriffe

Allgemeines

keytool - Informationen zu Keystores undZertifikaten

Inhalt eines Keystores auflisten keytool -list






PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

y y

-keystore teststore1.jks -storepass secret

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines

S V hl l








PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

y y


Details zu Eintrag in Keystore anzeigen keytool

-list -v -keystore teststore1.jks -alias

testkey3 -storepass secret

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines

S V hlü l








PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .


Details zu Eintrag in Keystore anzeigen keytool

-list -v -keystore teststore1.jks -alias

testkey3 -storepass secret

Details zu Zertifikat in Datei anzeigen keytool

-printcert -v -file testcert1.crt.pem

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines

Sym Verschlüsselung

OpenSSL - Informationen zu Keys, CSRs undZertifikaten

Details zu RSA-Key anzeigen openssl rsa -in






PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

rsatest1.key -noout -text

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines

Sym Verschlüsselung








PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .


Details zu CSR anzeigen openssl req -in

csrtest1.csr.pem -noout -text

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines







y g


PKISonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




Details zu Zertifikat (PEM) anzeigen openssl x509

-in testcert1.crt.pem -noout -text

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines








PKISonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .




Details zu Zertifikat (PEM) anzeigen openssl x509

-in testcert1.crt.pem -noout -text

Details zu Zertifikat (DER) anzeigen openssl x509

-inform der -in testcert1.crt -noout -text

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


OpenSSL - Informationen zuPKCS#12-Keystores

Informationen zu PKCS#12-Keystore anzeigen openssl

/





PKISonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

pkcs12 -info -in /teststore1.p12 -noout

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


OpenSSL - Informationen zuPKCS#12-Keystores

Informationen zu PKCS#12-Keystore anzeigen openssl

/





PKISonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

pkcs12 -info -in /teststore1.p12 -noout

Client-Zertifikate aus PKCS#12-Keystore anzeigenopenssl pkcs12 -info -in /teststore1.p12

-nokeys -nodes -clcerts

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


Konvertierung von Zertifikaten - Teil 1 PEM mit Textinformationen (so wie es oft von CAs

kommt) zu PEM ohne Textinformationen (so wie esmeist gebraucht wird):





PKISonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

meist gebraucht wird):

openssl x509 -in cert_full.pem -out cert.pem

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines








PKISonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .


openssl x509 -in cert_full.pem -out cert.pem PEM in DER:

openssl x509 -in cert.pem -outform der

-out cert.der

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines








PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zu

Krypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .


openssl x509 -in cert_full.pem -out cert.pem PEM in DER:

openssl x509 -in cert.pem -outform der

-out cert.der

verschlüsselten RSA-Key (mit Passwortschutz) inunverschlüsselten:openssl rsa -in encrypted.key.pem -out

key.pem -passin pass:secret

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


A V hlü l

Konvertierung von Zertifikaten - Teil 2 PEM-Zertifikat, PEM-CA-Zertifikate und PEM-Key zu

PKCS#12:openssl pkcs12 -export -chain -inkey key.pem





PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge


Informationen zuKrypomaterial



eigener Code?

Fragen

Anhang

Literatur

. . . . . .

p p p y y p

-in cert.pem -CAfile cacerts.pem-out cert.p12 -name certalias

-passin pass:secret -passout pass:secret

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


Asym Verschlüsselung

Konvertierung von Zertifikaten - Teil 2 PEM-Zertifikat, PEM-CA-Zertifikate und PEM-Key zu

PKCS#12:openssl pkcs12 -export -chain -inkey key.pem





PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

p p p y y p

-in cert.pem -CAfile cacerts.pem-out cert.p12 -name certalias

-passin pass:secret -passout pass:secret

PKCS#12 zu JKS:keytool -importkeystore

-srckeystore cert.p12 -destkeystore cert.jks

-srcstoretype pkcs12 -deststoretype jks

-srcstorepass secret -deststorepass secret

-srcalias certalias -destalias certalias

-srckeypass secret -destkeypass secret

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines


Asym Verschlüsselung

openssl als Testserver und -client Testserver starten

openssl s_server -cert server.crt.pem -key

server.key.pem -tls1 -www





PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

y p

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



openssl als Testserver und -client Testserver starten

openssl s_server -cert server.crt.pem -key

server.key.pem -tls1 -www





PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

y p

Testclient startenopenssl s_client -connect localhost:4433

-CApath cadir

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



Wann brauche ich eigenen Code? Zertifikate mit

”kaputten“ Daten erzeugen (z.B. für

Tests)




y g

PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines





Tests)

direkter Import von privaten Schlüsseln in




PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

p p

JKS-Keystores ohne Umweg über PKCS#12

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines





Tests)

direkter Import von privaten Schlüsseln in




PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

p p

JKS-Keystores ohne Umweg über PKCS#12 … weitere kreative Ideen

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines






PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Gibt es noch Fragen?

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



BegriffserklärungenAllgemeinesSymmetrische/Secret-Key VerschlüsselungAsymmetrische/Public-Key VerschlüsselungPKI-Begriffe




PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

g

Sonstiges

Dateiformate


PraktischesWerkzeugeZertifikatslebenszyklusInformationen zu KrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?

Anhang

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



Referenzierte Dokumente I

[1] Wikipedia. Data Encryption Standard . 2011. url:http://de.wikipedia.org/wiki/Data_

Encryption Standard.

http://de.wikipedia.org/wiki/Data_Encryption_Standard





PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

yp _

[2] Wikipedia. RSA-Kryptosystem. 2011. url: http:

//de.wikipedia.org/wiki/RSA-Kryptosystem .

[3] Wikipedia. Elgamal-Kryptosystem. 2011. url:http://de.wikipedia.org/wiki/ElGamal-

Kryptosystem.

[4] Wikipedia. Diffie-Hellman-Schlüsselaustausch. 2011.url: http:

//de.wikipedia.org/wiki/Diffie-Hellman .

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Referenzierte Dokumente II[5] D. Cooper u. a. Internet X.509 Public Key

Infrastructure Certificate and Certificate RevocationList (CRL) Profile . RFC 5280 (Proposed Standard).

url

http://de.wikipedia.org/wiki/Diffie-Hellman

http://de.wikipedia.org/wiki/Diffie-Hellman

http://de.wikipedia.org/wiki/ElGamal-Kryptosystem

http://de.wikipedia.org/wiki/ElGamal-Kryptosystem

http://de.wikipedia.org/wiki/RSA-Kryptosystem

http://de.wikipedia.org/wiki/RSA-Kryptosystem


http://rsa.com/rsalabs/node.asp?id=2124

http://de.wikipedia.org/wiki/ASN.1




PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

Internet Engineering Task Force, Mai 2008.url

:http://www.ietf.org/rfc/rfc5280.txt.

[6] M. Nystrom und B. Kaliski. PKCS #10: CertificationRequest Syntax Specification Version 1.7 . RFC 2986(Informational). Updated by RFC 5967. Internet

Engineering Task Force, Nov. 2000. url:http://www.ietf.org/rfc/rfc2986.txt.

[7] RSA Laboratories. Public-Key Cryptography Standards . 1991. url:

http://rsa.com/rsalabs/node.asp?id=2124.[8] Wikipedia. Abstract Syntax Notation One . 2011. url:

http://de.wikipedia.org/wiki/ASN.1.

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Referenzierte Dokumente III[9] R. Housley. Cryptogr aphic Message Syntax (CMS) .

RFC 5652 (Standard). Internet Engineering TaskForce, Sep. 2009. url:http://www ietf org/rfc/rfc5652 txt

http://de.wikipedia.org/wiki/ASN.1

http://rsa.com/rsalabs/node.asp?id=2124

http://www.ietf.org/rfc/rfc2986.txt









PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

http://www.ietf.org/rfc/rfc5652.txt.

[10] B. Ramsdell. Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specification. RFC 3851 (Proposed Standard).Obsoleted by RFC 5751. Internet Engineering Task

Force, Juli 2004. url:http://www.ietf.org/rfc/rfc3851.txt.

[11] T. Dierks und E. Rescorla. The Transport Layer Security (TLS) Protocol Version 1.2 . RFC 5246

(Proposed Standard). Updated by RFCs 5746, 5878,6176. Internet Engineering Task Force, Aug. 2008.url: http://www.ietf.org/rfc/rfc5246.txt.

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Referenzierte Dokumente IV[12] Wikipedia. Transport Layer Security . 2011. url:

http://de.wikipedia.org/wiki/Transport_

Layer_Security.




http://de.wikipedia.org/wiki/Transport_Layer_Security

http://de.wikipedia.org/wiki/Transport_Layer_Security




PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

[13] Jan Dittberner. OpenSSL Konfigurationsbeispiele .2011. url: http://git.dittberner.info/

?p=osslconfexamples.git;a=tree.

[14] Jan Dittberner. Techblog-Post: OCSP-Endpoint mit OpenSSL. 13. Apr. 2011. url:http://www.communardo.de/home/techblog/201

1/04/13/ocsp-endpoint-mit-openssl/.

Keytool, OpenSSL

und Co.

Jan Dittberner

Begriffe

Allgemeines



PKI

Kontakt

Jan Dittberner

Communardo Software GmbH

http://www.communardo.de/home/techblog/2011/04/13/ocsp-endpoint-mit-openssl/

http://www.communardo.de/home/techblog/2011/04/13/ocsp-endpoint-mit-openssl/

http://git.dittberner.info/?p=osslconfexamples.git;a=tree

http://git.dittberner.info/?p=osslconfexamples.git;a=tree




PKI

Sonstiges

Dateiformate

Lebenszyklus

Praktisches

Werkzeuge





eigener Code?

Fragen

Anhang

Literatur

. . . . . .

E-Mail: [email protected]

http://www.communardo.de/

home/techblog/author/jdi

http://www.communardo.de/home/techblog/author/jdi

http://www.communardo.de/home/techblog/author/jdi


Documents

Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?