openssl FAQ# :13:19 FAQ-Artikel-Ausdruck Seite 1 Schlüsselwörter Symptom (öffentlich) Kategorie: Security::SSL Bewertungen: 0

Transkript

1 openssl :13:19 FAQ-Artikel-Ausdruck Kategorie: Security::SSL Bewertungen: 0 Status: öffentlich (Alle) Ergebnis: 0.00 % Sprache: de Letzte Aktualisierung: 19:28: Schlüsselwörter sicherheit, ssl, openssl Symptom (öffentlich) [1] OpenSSL Eigentlich ist diese Seite für einen Windows Administrator eher unwichtig, denn Windows Server enthält eine Zertifizierungsstelle, die sich auch einfach installieren lässt und das Rollout von Zertifikaten in der Domäne zu einem Kinderspiel macht. (Siehe auch [2]CA installieren, [3]IIS Zertifikat einrichten, [4]Clientzertifikat anfordern) Aber auch in einer Windows Umgebung kann OpenSSL sehr gute Dienste leisten, z.b. für: - Ausgabe von Informationen über die Zertifikatsdateien OpenSSL kann sehr schön die Details als Textdatei extrahieren und sie können auch direkt per TCP das Zertifikat auf einem anderen Mailserver abholen. - Konvertieren von PKCS12-Dateien in PEM-Dateien Damit können Sie Zertifikate, die aus einem Windows Server oder mit einer Windows CA als PKCS12-Datei (Endung pfx) erstellt wurden, in das von Apache und anderen Diensten eher gebräuchliche PEM-Format konvertieren. - Konvertieren von PEM-Dateien in PKCS12-Dateien Auch der Umgekehrte Weg ist möglich um z.b. eine Zertifikat in Form von PEM-Dateien in das von Windows verdaubare PKCS12-Format zu konvertieren. - Umbauen von Zertifikaten Mit OpenSSL kann man auch wunderbar ein Zertifikat (PKCS12)-Datei in die Bestandteile auseinander nehmen und mit anderen Zertifikaten wieder zusammen bauen. Das ist z.b.: sehr nützlich, wenn man wie Verisign eine IntermediateCA hat und man ein Zertifikat mit kompletter Kette nutzen möchte oder die Zertifizierungsstelle ein früher ausgestelltes Zertifikat einfach verlängert. Wie nutze ich OpenSSL? Um OpenSSL zu nutzen, müssen Sie die Software erst herunter laden und installieren. Ich nutze dazu meist das OpenSSL von GnuWIN32, welches mit weniger als 2 MB schnell heruntergeladen und installiert ist. OpenSSL runtergeladen [5] FAQ: [6] Die Steuerung selbst erfolgt dann komplett per Kommandozeile und Parameter. Dazu sollten Sie aber ein paar Dateiendungen kennen: Endung Inhalt Format Encoding PEM Zertifikate oder Private Keys. Mehrere Abschnitte können in einer Datei zusammengefasst sein DER Base64 REQ RFC2986 PKCS #10: Certification Request Syntax Specification Version 1.7 DER/Base64 CER Enthält das Zertifikat bestehend aus den Daten (Name, Gültigkeitsdauer, Ausstellende CA, Fingerprint etc. X509 DER/Base64 CRT Binäres Zertifikat X.509 binary PFX/P12 Mit Kennwort geschützter PKCS#12 Kontainer enthält Zertifikate und private schlüssel P7B/P7C PKCS#7 Datenstruktur, die Certifikate, revocation Liste (CRL) etc enthalten kann RFC 2315 PKCS 7: Cryptographic Message Syntax Version 1.5 crl Enthält die Liste der zurückgezogenen Zertifikate RFC3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile SST Microsoft proprietäres Speicherformat für Zertifikate Beachten sie, dass einige Erweiterungen sowohl Base64- also auch DER-codierte Daten enthalten können. OpenSSL arbeitet bevorzugt mit Base64-codierten Daten. Da es sich dabei im weitesten um TEXT-Dateien handelt. Bei der Bearbeitung mit Seite 1

2 Notepad o.ä. sollte sie darauf achten, dass die diese nicht im UNICODE-Format speichern. Manchmal sieht die Formatierung seltsam aus, da OpenSSL im UNix-Format nur ein "Linefed (LF)" und nicht das Windows übliche CRLF verwendet. - Public-Key Cryptography Standards (PKCS) [7] - Wikipedia: X.509 [8] Folgende Befehle werden häufig benötigt: Von Nach Aufruf Bemerkungen PFX PEM openssl pkcs12 -in quelle.pfx -out ziel.pem -nodes Hiermit kann ich ein Windows Zertifikat samt private Key in ein PEM-Format überführen und weiter verarbeiten und z.b. den private Key nutzen, um mit einem veränderten Zertifikat wieder ein Paar zu bilden PEM PFX openssl pkcs12 -export -out iis.pfx -in all.pem Die PEM Datei muss sowohl den private Key als auch das dazu gehörige Zertifikat enthalten. CER PEM openssl x509 -inform der -in Quelle.cer -out ziel.pem Konvertiert eine DER-codierte CER-Datei in das PEM Format. Diese Umkodierung können Sie übrigens auch mit dem Microsoft Tool "CertUtil" durchführen PEM CER openssl x509 -outform der -in quelle.pem -out ziel.cer Konvertiert ein PEM-Zertifikat in das CER-Format. Diese Umkodierung können Sie überigens auch mit dem Microsoft Tool "CertUtil" durchführen CER Text openssl.exe" x509 -text -in cert.cer > cert.txt Exportiert das Zertifikat in einer lesbaren Form, um die Details in einer Datei einsehen zu können. - A few frequently used SSL commands [9] OpenSSL, Textdateien, Unix und Windows Notepad ist im Prinzip ein sehr schönes Programm, da es auf jedem Windows System vorhanden ist und relativ problemlos mit Textdateien überschaubarer Größe umgehen kann. Allerdings gibt es zwei Dinge die sie in Verbindung mit OpenSSL beachten müssen - ANSI statt Unicode Beachten Sie, dass sie alle Dateien als ANSI speichern und nicht etwas im UNICODE-Format - LF statt CRLF Zudem bekommen Sie oft Dateien von Unix, die am Zeilenende kein CR/LF sondern nur ein LF haben. Notepad bricht solche Texte dann nicht um. Wenn Sie zur Lesbarkeit dann manuell die Zeilen umbrechen, dann wird daraus am eine ein CR/LF/LF, was OpenSSL wieder nicht verträgt. Aber dann ist Notepad ein guter Begleiter, wenn Sie nicht eh schon auf alternativen wie SctiTE oder andere umsteigen. SAN-Zertifikate und OpenSSL Mit ist es einmal passiert, das ein Kunde das Zertifikat nicht mit dem IIS angefordert hat, sondern von der Zertifizierungsstelle einfach drei Texte bekommen hat, die etwa wie folgt aussahen. (Keine echten Daten!) Der Private Schlüssel als PEM-Datei (Base64 codiert) --BEGIN RSA PRIVATE KEY-- wqxr86txwjpsowdbuzoth2sgptgp334yexu/twkz2gqyanjjwmgdctzikn69ywzr IICXQIBAAKBgQCkot4L8gOrytf9JzhF6D1s7fzzod9ZvtyALXQkCDAIacyFP8OR... d3vssiqpr/xrrblq95lmk/ziy2oqz8q4b41iiu3ilqkr1sbm917tm2zkwqidaqab fhhppjje9ysidn+us5n80jpmdrxkytjqi0vwpytbc3daps3yo+dwfmbuspumnzoq kjkq8sallnbkwndepyzxneharggzu1r6zqjbajtfctokqbf5tbnipbybllg2ezk2 im4fxyo/zsqdtdgvxm/vpgfbiilzpgmabb+fcroqa2xj --END RSA PRIVATE KEY-- Das dazu gehörige Zertifikat mit dem signierten öffentlichen Schlüssel (keine echten Daten) --BEGIN CERTIFICATE-- MmVyIENBIC0gQ2xhc3MgMzFJMEcGA1UECxNAd3d3LnZlcmlzaWduLmNvbS9DUFMg SI5jb3JwLmJ5IFJlZi4gTElBQklMSVRZIExURC4oYyk5NyBWZXJpU2lnbjAeFw0w... NvhFAQcXAzAqMCgGCCsGAQUFBwIBFhxodHRwcaHR0cDovL3dy52ZXJlnbi5jb20v cnsgaqufbwebbcgwjjakbggrbgefbqcwayyy29jc3audmvyzovl3daxpc2npz24u Y29DAhoEFEtruSiWBgy70FI4mymsSweLIQUYMCYWJGh0dHA6Ly9sb2dvLnZlcmlz awdulmnvbswogzf+hmmb1v/8xo3mpsmwmwvk7ensswv4cxqvol2mjg1dirdx/b/x lrf2ajup922cpfniu2bpakag== --END CERTIFICATE-- und zuletzt noch das IntermediateCA von Verisign, welches Sie auch [10] Seite 2

3 herunter laden können Um daraus nun ein P12-File (PKCS12) zu erstellen muss man zuerst alle drei Dateien einfach in eine PEM-Datei speichern c:\>type public.pem + private.pem + intermediate.pem >all.pem Diese Datei (/hängen und dann mit OpenSSL diese in eine PFX-Datei konvertieren, die man auf dem IIS dann einlesen kann. c:\>openssl pkcs12 -export -out iis.pfx -in all.pem Bei der Anforderung sollte man OpenSSL dann auch ein Kennwort geben, damit die PFX-Datei nicht komplett ungeschützt ist. Windows CA und Unix Webserver Natürlich kann eine Windows CA auch Zertifikatsanforderungen für nicht-windows Systeme verarbeiten. Allerdings muss man dazu erst eine Zertifikatsanforderung stellen und diese von der Windows CA signieren lassen und dann das Zertifikat wieder bereit stellen. Nun ist es mir aber mindestens einmal passiert, dass das Gerät, welches per SSL gesichert werden sollte, keine Zertifikate anfordern konnte. (Es was ein SUN-ILOM Board, welches per HTTPS die Steuerung des Servers erlaubt.) Dieses Managementsystem möchte einfach nur zwei Textdateien als Upload haben: - PEM-Datei mit dem private Key - PEM-Datei mit dem signierten Public Key In diesem Fall ist dann auch OpenSSL wieder ein einfacher Weg, einen "Private Key" zu rechnen, als Datei zu speichern und eine Anfrage für die Zertifizierungsstelle vorzubereiten. Zuerst müssen Sie aber eine Konfigurationsdatei erstellen ( z.b:srv1-mgmt.txt [ req ] default_bits = 1024 distinguished_name = req_distinguished_name [ req_distinguished_name ] countryname = DE localityname = Paderborn organizationalunitname = MSXFAQ commonname = cn= Diese Datei wird im folgenden Aufruf dann spezifiziert. openssl req -newkey rsa:1024 -nodes -subj '/CN=srv1-mgmt.msxfaq,de/O=MSXFAQ/C=DE' -keyout srv1-mgmt-private.pem -out srv1-mgmt-request.pem -config srv1-mgmt.txt Die Werte der Config-Datei werden vorgegeben. Den Wert für den CommonName muss aber auf jeden Fall noch einmal von Hand eintragen. Die Datei "srv1-mgmt-request.pem" liefert man dann bei der Windows CA ein und enthält eine unterschriebene CER-Datei zurück. Diese CER-Datei enthält den signierten Public Key und zusammen mit der Datei "srv1-mgmt-private.pem" hat man einen Satz, den man auf einem Apache, einem Juniper SSL-Gateway oder anderen Systemen verwenden kann. Wenn man schon ein Zertifikat mit den Windows Bordmitteln als PFX-Datei angelegt hat, dann hilft OpenSSL auch hier. - Convert PFX Certificate to PEM Format for Use with Citrix Access Gateway [11] openssl pkcs12 -in srv01cert.pfx -out cag.pem -nodes OpenSSL prüft SSL Die OpenSSL Library kann aber noch mehr als nur Zertifikate verwalten. Folgende Befehle zeigen, wie man per OpenSSL quasi eine TELNET-Verbindung zu einem Server mit SSL aufbauen # Verbindung zu HTTP over SSL openssl s_client -connect owa.msxfaq.de:443 # Verbindung zu IMAP over SSL openssl s_client -connect imap4.msxfaq.de:993 # Verbindung zu POP3 over SSL openssl s_client -connect pop3.msxfaq.de:995 # Verbindung zu SMTPS (eher selten genutzt) openssl s_client -connect remote.host:465 # OCS Zertifikate openssl.exe s_client -connect ocsserver:5061 Auch LDAP und andere Protokolle sind möglich und sie sollten natürlich ihre eigenen Servernamen als Ziele verwenden. Für den Einsatz mit Exchange ist HTTPS, POP3S und IMAP4S der häufigste Anwendungsfall. SMTP mit StartTLS Es gibt zwar auch einen SMTP over SSL Weg (SMTPS), mit dem direkt eine SSL-Verbindung genutzt wird. Allerdings wird der eher nicht genutzt. Statt dessen kann ein Mailserver über die Verbindung auf Port 25 mit dem Befehl "STARTTLS" auf eine SS-Verbindung umsteigen, wenn der empfangende Mailserver dies bei einem EHLO anbietet Seite 3

4 Hoffentlich nutzen immer mehr Server die Funktion, auch ein Zertifikat anzubieten, so dass der Absender die Mail verschlüsseln kann. Dazu benötigt man natürlich ein Zertifikat für den Mailserver, wie er im MX-Record eingetragen ist. Mit OpenSSL kann man auch diese Zertifikate schon mal "abrufen". Hier ein Beispiel mit einem Selbstzertifikat. C:\OpenSSL\bin>openssl.exe s_client -connect mail.netatwork.de:25 -starttls smtp Loading 'screen' into random state - done CONNECTED( C) depth=0 /C=DE/ST=NRW/L=Paderborn/O=Net at Work/OU=Technik/CN=owa.netatwork.de verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /C=DE/ST=NRW/L=Paderborn/O=Net at Work/OU=Technik/CN=owa.netatwork.de verify error:num=27:certificate not trusted verify return:1 depth=0 /C=DE/ST=NRW/L=Paderborn/O=Net at Work/OU=Technik/CN=owa.netatwork.de verify error:num=21:unable to verify the first certificate verify return:1 Certificate chain 0 s:/c=de/st=nrw/l=paderborn/o=net at Work/OU=Technik/CN=owa.netatwork.de i:/dc=de/dc=netatwork/cn=nawca Server certificate --BEGIN CERTIFICATE-- MIIFejCCBGKgAwIBAgIKYnfouwAAAAAAsjANBgkqhkiG9w0BAQUFADA/MRIwEAYK CZImiZPyLGQBGRYCZGUxGTAXBgoJkiaJk/IsZAEZFgluZXRhdHdvcmsxDjAMBgNV BAMTBW5hd2NhMB4XDTA4MDUxNzA4NTUwM1oXDTEwMDUxNzA4NTUwM1owcjELMAkG A1UEBhMCREUxDDAKBgNVBAgTA05SVzESMBAGA1UEBxMJUGFkZXJib3JuMRQwEgYD VQQKEwtOZXQgYXQgV29yazEQMA4GA1UECxMHVGVjaG5pazEZMBcGA1UEAxMQb3dh Lm5ldGF0d29yay5kZTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAy8aZy2+r mvflmkhhd9l56p+vbwidnvyjpry45xdfya32xjlx2phbhlptrydtxc83v4dkcz6z 0qUJw0ceHKV4gfIptLm2lsN3Zqx5U8odwEr/dFYh11P0KXigFZPR09jZQXmSLJh2 b43v6ks6m+tpbunmcbllvhfrurfavoqjrzucaweaaaocascwggldmasga1uddwqe AwIFoDBEBgkqhkiG9w0BCQ8ENzA1MA4GCCqGSIb3DQMCAgIAgDAOBggqhkiG9w0D BAICAIAwBwYFKw4DAgcwCgYIKoZIhvcNAwcwEwYDVR0lBAwwCgYIKwYBBQUHAwEw HQYDVR0OBBYEFF/nOfj7Ygy49ucmlYiFH0JPOq+YMB8GA1UdIwQYMBaAFLkRKrfd 7Ov2omJCSgHn3HdYUcpZMIHuBgNVHR8EgeYwgeMwgeCggd2ggdqGga5sZGFwOi8v L0NOPW5hd2NhLENOPW5hd3N2MDEwLENOPUNEUCxDTj1QdWJsaWMlMjBLZXklMjBT ZXJ2aWNlcyxDTj1TZXJ2aWNlcyxDTj1Db25maWd1cmF0aW9uLERDPW5ldGF0d29y ayxeqz1kzt9jzxj0awzpy2f0zvjldm9jyxrpb25maxn0p2jhc2u/b2jqzwn0q2xh c3m9y1jmrglzdhjpynv0aw9uug9pbnsgj2h0dha6ly9uyxdjys5uzxrhdhdvcmsu ZGUvcGtpL25hd2NhLmNybDCCAQMGCCsGAQUFBwEBBIH2MIHzMIGlBggrBgEFBQcw AoaBmGxkYXA6Ly8vQ049bmF3Y2EsQ049QUlBLENOPVB1YmxpYyUyMEtleSUyMFNl cnzpy2vzlenopvnlcnzpy2vzlenopunvbmzpz3vyyxrpb24srem9bmv0yxr3b3jr LERDPWRlP2NBQ2VydGlmaWNhdGU/YmFzZT9vYmplY3RDbGFzcz1jZXJ0aWZpY2F0 aw9uqxv0ag9yaxr5mekgccsgaqufbzachj1odhrwoi8vbmf3y2eubmv0yxr3b3jr LmRlL3BraS9uYXdzdjAxMC5uZXRhdHdvcmsuZGVfbmF3Y2EuY3J0MCEGCSsGAQQB gjcuagquhhiavwblagiauwblahiadgblahiwdqyjkozihvcnaqefbqadggebaec9 zlgm2d+hcqxfelq17jwsxio9/0nzloetg2mn/bgugncmkknew6sbu+gzldcly4c/ TDnkVc3Dq4JRG8CA2fsSDfRMm62zkyxJzv/0toNbKw00piKXLUT7raJ3zJ+1J9PL SKRNzA8NZk5SB/8spq2qGoIoel1SHWCYkbxqRBGOuPWQ+GJazghYs0M9pzjML08s 793QgDW2KGREabKhBUmun/KnK2eJWhEt3q2GOumL/d/+jbfaXy4a5s4w4gyp7pxD lcbgd6a2n/h/ldcyc2gcgndpz9gxxcwosemqlhvvxl1l97ulbdyxf4qiav0eaxlq 9Q0pHffW+GDV0zkN/l4= --END CERTIFICATE-- subject=/c=de/st=nrw/l=paderborn/o=net at Work/OU=Technik/CN=owa.netatwork.de issuer=/dc=de/dc=netatwork/cn=nawca No client certificate CA names sen SSL handshake has read bytes and written 353 bytes New, TLSv1/SSLv3, Cipher is RC4-MD5 Server public key is 1024 bit Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : RC4-MD5 Session-ID: E F23972EEF0BE7C4005C349384D552B1FD590C7A4E8454D6B739B44E2 Session-ID-ctx: Master-Key: CA3FB3EC5EE5094AF823BEDDE125C68BEAA9F81F2E341E106C5F39EFA1002F075AC25ACBDBD8FF50C6D65A39B44D29FA Key-Arg : None Start Time: Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) 250 STARTTLS quit Den Abschnitt zwischen "--BEGIN CERTIFICATE--" und "--END CERTIFICATE--" können Sie natürlich einfach per Notepad als "CER-Datei speichern und mit einem Doppeltklick auch anzeigen lassen. Man kann nun geteilter Meinung sein, ob nicht öffentliche Zertifikate auf einem Mailserver Sinn machen. Exchange 2007 arbeitet generell erst einmal mit den Selbstzertifikaten. Es ist immer noch besser die Mails verschlüsselt an das andere System zu senden, als unverschlüsselt. Einen Schutz gegen eine bösartige Umleitung der Mails an einen anderen Server ist so natürlich nicht gegeben. OpenSSL und Office Communications Server OpenSSL leistet aber auch gute Dienste, um den SSL-Handshake eines OCS-Servers zu prüfen. Ein einfacher S_Client-Connect zum OCS-Port liefert Seite 4

5 auch hier das SSL-Zertifikat und kann helfen. Falsche Bindungen zu erkennen. C:\OpenSSL\bin>openssl.exe s_client -connect sip.firma.com:5061 OpenSSL zeigt Details einer PEM-Datei an Übrigens kann man mit OpenSSL auch ganz einfach einen Detailauszug des Zertifikats generieren C:\Programme\GnuWin32\bin>openssl.exe x509 -text -in "iis.pem" Certificate: Data: Version: 3 (0x2) Serial Number: 2d:61:01:97:19:5c:52:7f:d9:18:90:af:d1:85:01:81 Signature Algorithm: sha1withrsaencryption Issuer: O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign Interna tional Server CA - Class 3, OU= Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign Validity Not Before: Dec 6 00:00: GMT Not After : Dec 5 23:59: GMT Subject: C=DE, ST=NRW, L=Paderborn, O=MSXFAQ, OU=IT, CN=autodiscover.msxfaq.de Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (1024 bit) Modulus (1024 bit): 3d:6c:ed:fc:f3:a1:df:59:be:dc:80:2d:74:24:08:... c0:4c:f7:5e:d3:33:66:4a:c1 Exponent: (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: DNS:webmail.msxfaq.de, DNS:autodiscover.msxfaq.de X509v3 Basic Constraints: CA:FALSE... OpenSSL lädt Zertifikat und zeig es an Am Beispiel von Microsoft und OpenSSL habe ich einfach deren Zertifikat per TCP geholt und ausgeben lassen: Echo "" openssl.exe s_client -starttls smtp -connect :25 WARNING: can't open config file: /usr/local/ssl/openssl.cnf Loading 'screen' into random state - done CONNECTED( ) depth=1 /O=Cybertrust Inc/CN=Cybertrust SureServer Standard Validation CA verify error:num=20: unable to get local issuer certificate verify return:0 Certificate chain 0 s:/cn=mail.global.frontbridge.com/c=us/ address=support@frontbridge.com/l =Redmond/O=Microsoft/OU=Exchange Hosted Services/ST=Washington i:/o=cybertrust Inc/CN=Cybertrust SureServer Standard Validation CA 1 s:/o=cybertrust Inc/CN=Cybertrust SureServer Standard Validation CA i:/c=us/o=gte Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE CyberTrust Global Root Server certificate --BEGIN CERTIFICATE-- MIIEWzCCA0OgAwIBAgILAQAAAAABHQ0xv/EwDQYJKoZIhvcNAQEFBQAwUDEXMBUG A1UEChMOQ3liZXJ0cnVzdCBJbmMxNTAzBgNVBAMTLEN5YmVydHJ1c3QgU3VyZVNl cnzlcibtdgfuzgfyzcbwywxpzgf0aw9uienbmb4xdta4mtaxnzizndqwm1oxdta5 MTAxNzIzNDQwM1owgbkxJDAiBgNVBAMTG21haWwuZ2xvYmFsLmZyb250YnJpZGdl LmNvbTELMAkGA1UEBhMCVVMxJjAkBgkqhkiG9w0BCQEWF3N1cHBvcnRAZnJvbnRi cmlkz2uuy29tmrawdgydvqqhewdszwrtb25kmriweaydvqqkewlnawnyb3nvznqx ITAfBgNVBAsTGEV4Y2hhbmdlIEhvc3RlZCBTZXJ2aWNlczETMBEGA1UECBMKV2Fz agluz3rvbjccasiwdqyjkozihvcnaqebbqadggepadccaqocggebaohbgv6cofgi xekpm8cpwnqokg/vb4bbxjyaaypngnjpuhnuuykpofr/glebife/kgdj8pz0yehi /hy3dh2qg2deba26e16sdkmnlu3/jo1xpkjujhbo9k6cfejrohpdxurngyh3gcej Vu+LJjhBjG66D7UaMYa5bpFknynavpZx6S6hkpHPS1gPppy7NmyZ7zgXxgD6n3BT K2YjdEB5pTtYmbb+HsQv4dt9GktosY/NyI+v6zCWjRDKtUk3setirP0KImRDSt2S EHxUN/AZiJADJJNO2+F2WJuE7M140lghjIWZZl5GqamdKSCUElT/f5MuJTmayhNd FXRW07fjhPMCAwEAAaOByzCByDAfBgNVHSMEGDAWgBTNOpafrm4PQFwcSPhLLbhx AeuJ2jA5BgNVHR8EMjAwMC6gLKAqhihodHRwOi8vY3JsLm9tbmlyb290LmNvbS9T dxjlu2vydmvyrziuy3jsmb0ga1uddgqwbbrlrjsplrixfezioakk5bhexhrblzaj BgNVHRMEAjAAMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYI KwYBBQUHAwIwEQYJYIZIAYb4QgEBBAQDAgbAMA0GCSqGSIb3DQEBBQUAA4IBAQAz e/0mnuezrgkylffxfutix6kmkh5zapy2cpu5q6wdiylrvczkg/gvza+cechdodge fkfpknlwo51w9z+/t+agkqgtfxgfv67/jx2hsizkkxr5698weruewwphmq4hikk9 x/1ryjs2qbttaja6u2v/o+zcy6ayoafqebv7ih8xs/svwi7rn4ee9v3mjdfezofb a7c90pwqulgdzz1ldrpwupvmdgn9vaiarze0hjp3ybct22pzc4h+wwitsukhpyra X1dvYa+GghXhPteDarvty6JtO8QHkWiAOmmrp2Z9tdWj6xSOBJIBHviI3KgJAkwY NXQMpKm1UDIkryABHmw8 --END CERTIFICATE-- subject=/cn=mail.global.frontbridge.com/c=us/ address=support@frontbridge.co m/l=redmond/o=microsoft/ou=exchange Hosted Services/ST=Washington issuer=/o=cybertrust Inc/CN=Cybertrust SureServer Standard Validation CA No client certificate CA names sent SSL handshake has read 3074 bytes and written 357 bytes New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA Server public key is 2048 bit Seite 5

6 Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : DHE-RSA-AES256-SHA Session-ID: D63708E F28279F820B0A34EB6EFF C46081B341DB Session-ID-ctx: Master-Key: 8B48753D0F AF5CB7D5CF2B07EAB6D574D3BC5EA19E6ED541CFEA9DFD 5AF675E8CA26D2E2C427FF9B94495B21 Key-Arg : None Start Time: Timeout : 300 (sec) Verify return code: 20 (unable to get local issuer certificate) 250 8BITMIME Es ist also gar nicht schwer mal das Zertifikat eines Mailservers ab zu sammeln. Aber ein Sicherheitsrisiko ist es natürlich auch nicht. OpenSSL als Zertifikatsstelle Wer sich scheut eine Windows Zertifizierungsstelle zu installieren, wie auf [12]CA installieren beschrieben, kann auch mit OpenSSL eine Art Zertifizierungsstelle aufbauen und Zertifikate ausstellen. Thorsten Janke hat mir dazu ein ZIP-Archiv zur Verfügung gestellt, welches alle erforderlichen Komponenten von OpenSSL und passende Skripte enthält, so dass Sie damit eine "kleine CA-Lösung" aufbauen können. [13]openssl-ca.zip Nachdem Sie das Stammzertifikat auf allen Clients ausgerollt haben, können Sie weitere Zertifikate für ihre Server recht einfach erstellen. Für Windows Administratoren ist aber weiterhin der Aufbau einer [14]Firmen CA eine lohnende Überlegung. Weitere Links - [15] Homepage von OpenSSL FAQ [16] - [17]MSXFAQ - Network Load Balancing - [18]MSXFAQ - CA installieren - [19]MSXFAQ - IIS Zertifikat einrichten - [20]MSXFAQ - Clientzertifikat anfordern - [21]MSXFAQ - ISA-Server und SSL - [22]MSXFAQ - SelfSSL - [23]MSXFAQ - E2K7: Zertifikate - [24]Benutzerzertifikate im AD Wo liegen sie, wie können Sie exportiert und importiert werden. - -Verschlüsselung austesten Diagnose von POP3, IMAP und SMTP via SSL [25] - Certificate Concepts [26] - [27] - [28] - CSR dekodieren [29] - Verifying The SSL Certificate Expiration with a tool [30] [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] Seite 6

7 Lösung (öffentlich) Seite 7