Sie sind auf Seite 1von 116

Keytool, OpenSSL und Co.

Wofr nehme ich was und Warum? Jan Dittberner


Communardo Software GmbH, Dresden

05.05.2011

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung

Zusammenfassung
Kryptograe ist ein recht komplexes Thema, verbunden mit vielen Begrien und Abkrzungen. In diesem Vortrag werden Begrie erklrt und in Zusammenhang gebracht und die praktische Anwendung von Werkzeugen insbesondere im Java-Umfeld gezeigt.

PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begriserklrungen Allgemeines Symmetrische/Secret-Key Verschlsselung Asymmetrische/Public-Key Verschlsselung PKI-Begrie Sonstiges Dateiformate Zertikatlebenszyklus Praktisches Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code? Anhang
. . . . . .

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Allgemeines
Message Digest Hashfunktion, die mglichst kollisionsfrei Nachrichten auf einen Zahlenwert abbilden, gngige Vertreter sind MD5, SHA-1 und die SHA-2-Familie (SHA-224, SHA-256, SHA-384, SHA-512)

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Allgemeines
Message Digest Hashfunktion, die mglichst kollisionsfrei Nachrichten auf einen Zahlenwert abbilden, gngige Vertreter sind MD5, SHA-1 und die SHA-2-Familie (SHA-224, SHA-256, SHA-384, SHA-512) MAC, Message Authentication Code kryptograsch gesicherte Prfsumme fr eine Nachricht, mit der Integritt und Authentizitt geprft werden knnen

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Allgemeines
Message Digest Hashfunktion, die mglichst kollisionsfrei Nachrichten auf einen Zahlenwert abbilden, gngige Vertreter sind MD5, SHA-1 und die SHA-2-Familie (SHA-224, SHA-256, SHA-384, SHA-512) MAC, Message Authentication Code kryptograsch gesicherte Prfsumme fr eine Nachricht, mit der Integritt und Authentizitt geprft werden knnen HMAC Verwendung eines mit einem symmetrischen Verschlsselungsverfahren verschlsselten Message Digests als MAC

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Allgemeines
Message Digest Hashfunktion, die mglichst kollisionsfrei Nachrichten auf einen Zahlenwert abbilden, gngige Vertreter sind MD5, SHA-1 und die SHA-2-Familie (SHA-224, SHA-256, SHA-384, SHA-512) MAC, Message Authentication Code kryptograsch gesicherte Prfsumme fr eine Nachricht, mit der Integritt und Authentizitt geprft werden knnen HMAC Verwendung eines mit einem symmetrischen Verschlsselungsverfahren verschlsselten Message Digests als MAC Signatur mit einem asymmetrischen Verfahren verschlsselter Message Digest einer Nachricht

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Symmetrische/Secret-Key Verschlsselung
alle Beteiligten haben den gleichen geheimen Schlssel

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial

Abbildung: symmetrische Ver- und Entschlsselung

Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Symmetrische/Secret-Key Verschlsselung
alle Beteiligten haben den gleichen geheimen Schlssel der geheime Schlssel wird fr Ver- und Entschlsselung verwendet

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial

Abbildung: symmetrische Ver- und Entschlsselung

Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Symmetrische Verschlsselung
geheimer Schlssel, secret key gemeinsamer geheimer Schlssel der Kommunikationspartner bei symmetrischen Verschlsselungsverfahren

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Symmetrische Verschlsselung
geheimer Schlssel, secret key gemeinsamer geheimer Schlssel der Kommunikationspartner bei symmetrischen Verschlsselungsverfahren DES, Data Encryption Standard inzwischen als veraltet angesehenes symmetrisches Verschlsselungsverfahren mit einer Schlssellnge von 56 Bit

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Symmetrische Verschlsselung
geheimer Schlssel, secret key gemeinsamer geheimer Schlssel der Kommunikationspartner bei symmetrischen Verschlsselungsverfahren DES, Data Encryption Standard inzwischen als veraltet angesehenes symmetrisches Verschlsselungsverfahren mit einer Schlssellnge von 56 Bit 3DES, Tripple DES, DESede Interimslsung vor Einfhrung von AES bei der DES-VerschlsselungEntschlsselung-Verschlsselung mit drei unterschiedlichen Schlsseln durchgefhrt wird (siehe Wikipedia [1, Triple-DES])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Symmetrische Verschlsselung
geheimer Schlssel, secret key gemeinsamer geheimer Schlssel der Kommunikationspartner bei symmetrischen Verschlsselungsverfahren DES, Data Encryption Standard inzwischen als veraltet angesehenes symmetrisches Verschlsselungsverfahren mit einer Schlssellnge von 56 Bit 3DES, Tripple DES, DESede Interimslsung vor Einfhrung von AES bei der DES-VerschlsselungEntschlsselung-Verschlsselung mit drei unterschiedlichen Schlsseln durchgefhrt wird (siehe Wikipedia [1, Triple-DES]) AES, Advanced Encryption Standard, Rijndael aktuelles symmetrisches Verschlsselungsverfahren mit Schlssellngen von 128, 192 oder 256 Bit
. . . . . .

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische/Public-Key Verschlsselung
jeder Kommunikationspartner hat einen geheimen privaten Schlssel und verentlicht einen entlichen Schlssel

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Abbildung: asymmetrische Ver- und Entschlsselung

Asymmetrische/Public-Key Verschlsselung
jeder Kommunikationspartner hat einen geheimen privaten Schlssel und verentlicht einen entlichen Schlssel der private Schlssel dient dazu Signaturen anzufertigen und Nachrichten zu entschlsseln

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Abbildung: asymmetrische Ver- und Entschlsselung

Asymmetrische/Public-Key Verschlsselung
jeder Kommunikationspartner hat einen geheimen privaten Schlssel und verentlicht einen entlichen Schlssel der private Schlssel dient dazu Signaturen anzufertigen und Nachrichten zu entschlsseln der entliche Schlssel dient dazu Nachrichten zu verschlsseln und Signaturen zu prfen

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Abbildung: asymmetrische Ver- und Entschlsselung

Asymmetrische Verschlsselung - Schlssel


privater Schlssel, private key geheimer Teil eines Schlssels, der fr Signaturen und Entschlsselung verwendet werden kann

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische Verschlsselung - Schlssel


privater Schlssel, private key geheimer Teil eines Schlssels, der fr Signaturen und Entschlsselung verwendet werden kann entlicher Schlssel, public key entlicher Teil eines Schlssels, der zum Verschlsseln und zum Prfen von Signaturen verwendet werden kann

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische Verschlsselung - Schlssel


privater Schlssel, private key geheimer Teil eines Schlssels, der fr Signaturen und Entschlsselung verwendet werden kann entlicher Schlssel, public key entlicher Teil eines Schlssels, der zum Verschlsseln und zum Prfen von Signaturen verwendet werden kann Schlsselpaar, key pair ein Paar aus entlichem und dazugehrigem privatem Schlssel

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische Verschlsselung - RSA, Elgamal


RSA asymmetrisches Verschlsselungsund Signatur-Verfahren (benannt nach den Erndern Rivest, Shamir und Adleman) beruht auf dem Problem groe Zahlen in ihre Primfaktoren zu zerlegen (Wikipedia zu RSA-Kryptosystem [2])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische Verschlsselung - RSA, Elgamal


RSA asymmetrisches Verschlsselungsund Signatur-Verfahren (benannt nach den Erndern Rivest, Shamir und Adleman) beruht auf dem Problem groe Zahlen in ihre Primfaktoren zu zerlegen (Wikipedia zu RSA-Kryptosystem [2]) Elgamal asymmetrisches Verschlsselungsund Signatur-Verfahren, beruht auf dem Problem des diskreten Logarithmus (Wikipedia zu Elgamal-Kryptosystem [3])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische Verschlsselung - DSA, ECDSA


DSA, Digital Signature Algorithm im Auftrag der US-Regierung entwickeltes Verfahren fr digitale Signaturen

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische Verschlsselung - DSA, ECDSA


DSA, Digital Signature Algorithm im Auftrag der US-Regierung entwickeltes Verfahren fr digitale Signaturen ECDSA, Elliptic Curve DSA erweiterte Variante von DSA, die statt groen Primzahlen Punkte auf elliptischen Kurven als Schlsselwerte verwendet

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische Verschlsselung - DH und ECDH


DH, Die-Hellman Verfahren fr den Austausch von Session-Schlsseln ber unsichere Kanle (siehe Wikipedia [4]). Die-Hellman ist Grundlage des Elgamal-Kryptosystems (basiert auf diskreten Logarithmen)

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische Verschlsselung - DH und ECDH


DH, Die-Hellman Verfahren fr den Austausch von Session-Schlsseln ber unsichere Kanle (siehe Wikipedia [4]). Die-Hellman ist Grundlage des Elgamal-Kryptosystems (basiert auf diskreten Logarithmen) ECDH, Elliptic curve DieHellman verwendet elliptische Kurven statt groe Zufallszahlen

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Asymmetrische Verschlsselung - DH und ECDH


DH, Die-Hellman Verfahren fr den Austausch von Session-Schlsseln ber unsichere Kanle (siehe Wikipedia [4]). Die-Hellman ist Grundlage des Elgamal-Kryptosystems (basiert auf diskreten Logarithmen) ECDH, Elliptic curve DieHellman verwendet elliptische Kurven statt groe Zufallszahlen

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Abbildung: Prinzip des Die-Hellman-Schlsselaustauschs, Quelle: Wikipedia


. . . . . .

Begrie aus dem PKI-Umfeld - Teil 1


PKI, Public Key Infrastructure System zum Beantragen, Ausstellen, Verteilen und Prfen von Zertikaten

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begrie aus dem PKI-Umfeld - Teil 1


PKI, Public Key Infrastructure System zum Beantragen, Ausstellen, Verteilen und Prfen von Zertikaten CA, Certicate Authority eine CA stellt Zertikate fr entliche Schlssel aus und garantiert damit die Zugehrigkeit des privaten Schlssels zu seinem Besitzer

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begrie aus dem PKI-Umfeld - Teil 1


PKI, Public Key Infrastructure System zum Beantragen, Ausstellen, Verteilen und Prfen von Zertikaten CA, Certicate Authority eine CA stellt Zertikate fr entliche Schlssel aus und garantiert damit die Zugehrigkeit des privaten Schlssels zu seinem Besitzer Zertikat ein Zertikat ist ein digital signierter Public Key mit zustzlichen Attributen

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begrie aus dem PKI-Umfeld - Teil 2


X.509 ITU-T-Standard fr eine PKI, fordert ein hierarchisches System von vertrauenswrdigen Zertizierungsstellen (CAs), Zertikaten und Sperrlisten

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begrie aus dem PKI-Umfeld - Teil 2


X.509 ITU-T-Standard fr eine PKI, fordert ein hierarchisches System von vertrauenswrdigen Zertizierungsstellen (CAs), Zertikaten und Sperrlisten PKIX IETF-Prol von X.509 welches konkrete Details fr Zertikate und CRLs, sowie X.509-Extensions deniert (RFC-5280 [5])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begrie aus dem PKI-Umfeld - Teil 2


X.509 ITU-T-Standard fr eine PKI, fordert ein hierarchisches System von vertrauenswrdigen Zertizierungsstellen (CAs), Zertikaten und Sperrlisten PKIX IETF-Prol von X.509 welches konkrete Details fr Zertikate und CRLs, sowie X.509-Extensions deniert (RFC-5280 [5]) CSR, Certicate Signing Request wird mit dem privaten Schlssel signiert und an eine CA zum Signieren gegeben, enthlt Wnsche fr Parameter des Zertikats (Subject und X.509-Extensions), speziziert in RFC-2986 [6]

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begrie aus dem PKI-Umfeld - Teil 3


CRL, Certicate Revocation List Zertikatssperrlisten werden von CAs herausgegeben um widerrufene Zertikate bekanntzugeben

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begrie aus dem PKI-Umfeld - Teil 3


CRL, Certicate Revocation List Zertikatssperrlisten werden von CAs herausgegeben um widerrufene Zertikate bekanntzugeben OCSP, Online Certicate Status Protocol ein meist per HTTP zur Verfgung gestellter Dienst der CAs um direkt zu prfen, ob ein Zertikat widerrufen wurde

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Sonstige Begrie
PKCS, Public Key Cryptography Standard eine Serie von Dokumenten zu kryptograschen Verfahren der Firma RSA-Laboratories [7] viele davon sind in anderen Standards aufgenommen worden

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Sonstige Begrie
PKCS, Public Key Cryptography Standard eine Serie von Dokumenten zu kryptograschen Verfahren der Firma RSA-Laboratories [7] viele davon sind in anderen Standards aufgenommen worden ASN.1, Abstract Syntax Notation One Standard fr Textbeschreibung von Binrcodierung mit der die Daten fast aller kryptograschen Verfahren in den jeweiligen Standards beschrieben werden (siehe Wikipedia [8])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Sonstige Begrie
PKCS, Public Key Cryptography Standard eine Serie von Dokumenten zu kryptograschen Verfahren der Firma RSA-Laboratories [7] viele davon sind in anderen Standards aufgenommen worden ASN.1, Abstract Syntax Notation One Standard fr Textbeschreibung von Binrcodierung mit der die Daten fast aller kryptograschen Verfahren in den jeweiligen Standards beschrieben werden (siehe Wikipedia [8]) CMS, Cryptographic Message Syntax Standard fr die Signierung und Verschlsselung von Nachrichten, nutzt X.509-Infrastruktur fr Schlssel (speziziert in RFC-5652 [9])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Sonstige Begrie
S/MIME Standard fr Signatur und Verschlsselung von MIME-Nachrichten auf Basis von CMS, bentigt X.509-Zertikate, wird hauptschlich fr E-Mail, kann aber auch fr Web Services und andere MIME-Anwendungen verwendet werden (speziziert in RFC-3851 [10])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Sonstige Begrie
S/MIME Standard fr Signatur und Verschlsselung von MIME-Nachrichten auf Basis von CMS, bentigt X.509-Zertikate, wird hauptschlich fr E-Mail, kann aber auch fr Web Services und andere MIME-Anwendungen verwendet werden (speziziert in RFC-3851 [10]) SSL, Secure Sockets Layer, TLS, Transport Layer Security hybride Verschlsselung fr Socket-Verbindungen. TLS ist der von der IETF standardisierte Nachfolger von SSL (TLS 1.2 speziziert in RFC-5246 [11])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Sonstige Begrie
S/MIME Standard fr Signatur und Verschlsselung von MIME-Nachrichten auf Basis von CMS, bentigt X.509-Zertikate, wird hauptschlich fr E-Mail, kann aber auch fr Web Services und andere MIME-Anwendungen verwendet werden (speziziert in RFC-3851 [10]) SSL, Secure Sockets Layer, TLS, Transport Layer Security hybride Verschlsselung fr Socket-Verbindungen. TLS ist der von der IETF standardisierte Nachfolger von SSL (TLS 1.2 speziziert in RFC-5246 [11]) TLS-Handshake Verfahren zur Aushandlung der Verbindungsparameter bei TLS (gute Beschreibung in Wikipedia [12])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Sonstige Begrie
PGP, OpenPGP Alternative fr einige Anwendungsflle von X.509 (S/MIME, CMS), bei der die Vertrauenswrdigkeit nicht durch eine Hierarchie von CAs sondern durch ein Web-Of-Trust gewhrleistet wird. PGP ist die ursprngliche Software, OpenPGP der spter entwickelte Standard dazu

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Sonstige Begrie
PGP, OpenPGP Alternative fr einige Anwendungsflle von X.509 (S/MIME, CMS), bei der die Vertrauenswrdigkeit nicht durch eine Hierarchie von CAs sondern durch ein Web-Of-Trust gewhrleistet wird. PGP ist die ursprngliche Software, OpenPGP der spter entwickelte Standard dazu GNUPG, GNU Privacy Guard freie, teils vom Bundesministerium des Innern nanzierte, OpenPGP-Implementierung (in Version 2 auch mit S/MIME und X.509-Untersttzung)

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Sonstige Begrie
PGP, OpenPGP Alternative fr einige Anwendungsflle von X.509 (S/MIME, CMS), bei der die Vertrauenswrdigkeit nicht durch eine Hierarchie von CAs sondern durch ein Web-Of-Trust gewhrleistet wird. PGP ist die ursprngliche Software, OpenPGP der spter entwickelte Standard dazu GNUPG, GNU Privacy Guard freie, teils vom Bundesministerium des Innern nanzierte, OpenPGP-Implementierung (in Version 2 auch mit S/MIME und X.509-Untersttzung) SSH-Keys RSA-, DSA oder ECDSA-Schlssel fr Verwendung mit Secure Shell, in der Regel ohne Signatur

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begriserklrungen Allgemeines Symmetrische/Secret-Key Verschlsselung Asymmetrische/Public-Key Verschlsselung PKI-Begrie Sonstiges Dateiformate Zertikatlebenszyklus Praktisches Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code? Anhang
. . . . . .

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Keytool, OpenSSL und Co.

Tabelle: Dateiformate fr Schlssel und Zertikate

Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Format DER PEM CSR JKS PKCS#12

typische Dateiendungen .der, .crt .crt, .pem, .csr.pem, .key.pem .csr, .csr.pem .jks .pfx, .p12

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

DER-Format
Dateiendungen
.der, .crt

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung

Verwendung
ASN.1 DER (distinguished encoding rules) kodierte Binrform von X.509-Zertikaten

PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

PEM-Format
Dateiendungen
.crt, .pem, .csr.pem, .key.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Verwendung
Base64-Variante von DER kodierten Zertikaten, -Schlsseln oder Certicate Signing Requests, die Art der Information ist aus dem Dateianfang zu erkennen

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus

Beispiel: RSA-Schlssel
-----BEGIN RSA PRIVATE KEY----MIIEowIBAAKCAQEAnV9xp3adb8vNfljrPktWXfMk kAElT1Zr7LZHWP1k1QkxPAzHa/ZBrpok9Cwxm3fh ... APoP0gAuvgvv74V34z1IdwmpAuGc894US3uu5AKF 7cTsTFU2WaQ1bSq/DlZX1X5CB59ZFCQeCrQ+u75F -----END RSA PRIVATE KEY----. . . .

Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

PEM-Format
Dateiendungen
.crt, .pem, .csr.pem, .key.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Verwendung
Base64-Variante von DER kodierten Zertikaten, -Schlsseln oder Certicate Signing Requests, die Art der Information ist aus dem Dateianfang zu erkennen

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus

Beispiel: Certicate Signing Request


-----BEGIN CERTIFICATE REQUEST----MIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzAR ITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5 ... yMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQq Gn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T -----END CERTIFICATE REQUEST----. . . .

Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

PEM-Format
Dateiendungen
.crt, .pem, .csr.pem, .key.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Verwendung
Base64-Variante von DER kodierten Zertikaten, -Schlsseln oder Certicate Signing Requests, die Art der Information ist aus dem Dateianfang zu erkennen

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus

Beispiel: X.509-Zertikat
-----BEGIN CERTIFICATE----MIIDXTCCAkWgAwIBAgIJAN5wwO9NJQ/MMA0GCSqG BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEw ... HptNKsF1qNl0Hud//5colueA44Q4zwVdVk3tfG36 AQ== -----END CERTIFICATE----. . . .

Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

PEM-Format
Dateiendungen
.crt, .pem, .csr.pem, .key.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Verwendung
Base64-Variante von DER kodierten Zertikaten, -Schlsseln oder Certicate Signing Requests, die Art der Information ist aus dem Dateianfang zu erkennen

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus

Beispiel: DSA-Schlssel
-----BEGIN DSA PRIVATE KEY----MIIDVgIBAAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUq /M3n90/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbS ... /uQ73RuPSaWYd2ZLp/XNdpok9FkBQEglLxKcBz7R VsEJSEKeQgIhAOyJXfhC/dR9Ze/JMkfW0tdx+PiX -----END DSA PRIVATE KEY----. . . .

Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

PEM-Format
Dateiendungen
.crt, .pem, .csr.pem, .key.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Verwendung
Base64-Variante von DER kodierten Zertikaten, -Schlsseln oder Certicate Signing Requests, die Art der Information ist aus dem Dateianfang zu erkennen

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus

Beispiel: DSA-Parameter
-----BEGIN DSA PARAMETERS----MIICLAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUqE789 90/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbSdMsf ... vTtpWyBLmitxSbnW4v4kEbfJu2Id8xfd5kv2vmGe FCjWnHvUSG9Za2R4pJ5fF4lqu/Nwg08Ccylt+a4z -----END DSA PARAMETERS----. . . .

Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

CSR - Certicate Signing Request


Dateiendungen
.csr, .csr.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Verwendung
in der Regel PEM-kodierter PKCS#10 Certicate Signing Request, enthlt Parameter fr den Subject-Namen, optional mit gewnschten X.509-Erweiterungen

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren

Beispiel: CSR in PEM-Format


-----BEGIN CERTIFICATE REQUEST----MIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzAR ITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5 ... yMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQq Gn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T -----END CERTIFICATE REQUEST----. . . . . .

TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

JKS - Java Keystore


Dateiendungen
.jks

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung

Verwendung
Java-Keystore, proprietres Format fr KeyStores und TrustStores im Java-Umfeld, kann als vertrauenswrdig eingestufte Zertikate und/oder Schlsselpaare mit zugehrigen Zertikaten enthalten

PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Anmerkung
Standardpasswort (leider oft ungendert) ist changeit

Fragen Anhang Literatur

PKCS#12
Dateiendungen
.p12, .pfx

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung

Verwendung
Standardformat fr mit passwortbasierten Verfahren (PBE, password based encryption) verschlsselte Container fr Schlsselpaare mit deren Zertikaten

PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus

Anmerkung
Die mit dem JDK mitgelieferte PKCS#12-Implementierung ist nur eingeschrnkt standardkonform (kann z.B. keine Zertikate ohne private Schlssel speichern)

Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Begriserklrungen Allgemeines Symmetrische/Secret-Key Verschlsselung Asymmetrische/Public-Key Verschlsselung PKI-Begrie Sonstiges Dateiformate Zertikatlebenszyklus Praktisches Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code? Anhang
. . . . . .

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Keytool, OpenSSL und Co.

Abbildung: Das Leben eines Zertikats

Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung

CA-Key Zertikat Schlsselpaar

PKI

id

uf err

Sonstiges

Dateiformate Lebenszyklus

auf Abl

Praktisches
Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Signing Request .

Fragen

ern eu n Er

Anhang Literatur

Begriserklrungen Allgemeines Symmetrische/Secret-Key Verschlsselung Asymmetrische/Public-Key Verschlsselung PKI-Begrie Sonstiges Dateiformate Zertikatlebenszyklus Praktisches Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code? Anhang
. . . . . .

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

keytool
Wird mit dem JDK mitgeliefert

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

keytool
Wird mit dem JDK mitgeliefert kann mit JKS- und rudimentr mit PKCS#12-Keystores umgehen

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

keytool
Wird mit dem JDK mitgeliefert kann mit JKS- und rudimentr mit PKCS#12-Keystores umgehen nutzt intern die JCE/JCA-APIs der Java-Runtime

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

keytool
Wird mit dem JDK mitgeliefert kann mit JKS- und rudimentr mit PKCS#12-Keystores umgehen nutzt intern die JCE/JCA-APIs der Java-Runtime rudimentr zum Erzeugen von Schlsseln und CSRs geeignet

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

keytool
Wird mit dem JDK mitgeliefert kann mit JKS- und rudimentr mit PKCS#12-Keystores umgehen nutzt intern die JCE/JCA-APIs der Java-Runtime rudimentr zum Erzeugen von Schlsseln und CSRs geeignet spezialisiert auf Verwaltung von Zertikaten im Java-spezischen JKS-Format

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

keytool
Wird mit dem JDK mitgeliefert kann mit JKS- und rudimentr mit PKCS#12-Keystores umgehen nutzt intern die JCE/JCA-APIs der Java-Runtime rudimentr zum Erzeugen von Schlsseln und CSRs geeignet spezialisiert auf Verwaltung von Zertikaten im Java-spezischen JKS-Format http://download.oracle.com/javase/6/docs/ technotes/tools/windows/keytool.html

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL
OpenSource-Crypto-Implementierung

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL
OpenSource-Crypto-Implementierung bietet Funktionen fr fast jeden Anwendungsfall im Bereich der Kryptograe

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL
OpenSource-Crypto-Implementierung bietet Funktionen fr fast jeden Anwendungsfall im Bereich der Kryptograe openssl als Kommandozeilen-Frontend einer C-Bibliothek

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL
OpenSource-Crypto-Implementierung bietet Funktionen fr fast jeden Anwendungsfall im Bereich der Kryptograe openssl als Kommandozeilen-Frontend einer C-Bibliothek http://www.openssl.org/

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

eigener Code
fr einige Grenzflle die OpenSSL nicht abdeckt

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

eigener Code
fr einige Grenzflle die OpenSSL nicht abdeckt fr dynamische Erzeugung von Keys-, CSRs- oder Zertikaten z.B. fr Tests

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

eigener Code
fr einige Grenzflle die OpenSSL nicht abdeckt fr dynamische Erzeugung von Keys-, CSRs- oder Zertikaten z.B. fr Tests kann z.B. mit der openssl-Library (C), m2crypto (Python) oder dem JDK in Zusammenarbeit mit BouncyCastle implementiert werden

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

eigener Code
fr einige Grenzflle die OpenSSL nicht abdeckt fr dynamische Erzeugung von Keys-, CSRs- oder Zertikaten z.B. fr Tests kann z.B. mit der openssl-Library (C), m2crypto (Python) oder dem JDK in Zusammenarbeit mit BouncyCastle implementiert werden Aufwand meist recht hoch, also erst prfen was openssl und keytool schon knnen

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Keytool, OpenSSL und Co.

Tabelle: Entscheidungsmatrix fr Crypto-Werkzeuge - Teil 1

Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

gut geeignet eingeschrnkt geeignet nicht geeignet Anwendungsfall keytool openssl eigenes RSA-Key erzeugen CSR erzeugen Zertikat (self-signed) erzeugen Zertikat aus CSR signieren Informationen aus JKS anzeigen Informationen aus PEM anzeigen

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Keytool, OpenSSL und Co.

Tabelle: Entscheidungsmatrix fr Crypto-Werkzeuge - Teil 2

Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

gut geeignet eingeschrnkt geeignet nicht geeignet Anwendungsfall keytool openssl eigenes KeyPair als PEM speichern KeyPair aus PEM in JKS importieren KeyPair aus PKCS#12 in JKS importieren Key und Zertikat in PKCS#12 umwandeln Zertikat in JKS importieren

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Keytool, OpenSSL und Co.

Tabelle: Entscheidungsmatrix fr Crypto-Werkzeuge - Teil 3

Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

gut geeignet eingeschrnkt geeignet nicht geeignet Anwendungsfall keytool openssl eigenes Verwendung als CA CRL erzeugen Zertikat gegen CRL prfen TLS-Verbindung testen OCSP-Testserver betreiben Zertikat gegen OCSP prfen

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Zertikats-Lebenszyklus
Beispiele der Verwendung von OpenSSL und keytool Erzeugen von Keys, CSRs, CRLs und Zertikaten Widerrufen von Zertikaten Test-OCSP-Endpoint und OCSP-Client

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Keytool, OpenSSL und Co.

Abbildung: Das Leben eines Zertikats

Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung

CA-Key Zertikat Schlsselpaar

PKI

id

uf err

Sonstiges

Dateiformate Lebenszyklus

auf Abl

Praktisches
Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Signing Request .

Fragen

ern eu n Er

Anhang Literatur

OpenSSL - Schlssel und CSRs erzeugen


Key erzeugen openssl genrsa -out rsatest1.key.pem 2048

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Schlssel und CSRs erzeugen


Key erzeugen openssl genrsa -out rsatest1.key.pem 2048 CSR erzeugen openssl req -new -key rsatest1.key.pem -out csrtest1.csr.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Schlssel und CSRs erzeugen


Key erzeugen openssl genrsa -out rsatest1.key.pem 2048 CSR erzeugen openssl req -new -key rsatest1.key.pem -out csrtest1.csr.pem Key und CSR gemeinsam erzeugen openssl req -new -newkey rsa:2048 -nodes -keyout rsatest2.key.pem -out csrtest2.csr.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Schlssel und CSRs erzeugen


Key erzeugen openssl genrsa -out rsatest1.key.pem 2048 CSR erzeugen openssl req -new -key rsatest1.key.pem -out csrtest1.csr.pem Key und CSR gemeinsam erzeugen openssl req -new -newkey rsa:2048 -nodes -keyout rsatest2.key.pem -out csrtest2.csr.pem CSR-Informationen anzeigen openssl req -in csrtest2.csr.pem -noout -text

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Schlssel und CSRs erzeugen


Key erzeugen openssl genrsa -out rsatest1.key.pem 2048 CSR erzeugen openssl req -new -key rsatest1.key.pem -out csrtest1.csr.pem Key und CSR gemeinsam erzeugen openssl req -new -newkey rsa:2048 -nodes -keyout rsatest2.key.pem -out csrtest2.csr.pem CSR-Informationen anzeigen openssl req -in csrtest2.csr.pem -noout -text ber eine angepasste openssl-Kongurationsdatei knnen dem CSR auch gleich gewnschte X.509-Erweiterungen mitgegeben werden [13, clientcsr.conf]

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Schlssel und CSRs erzeugen - keytool


Key erzeugen keytool -genkeypair -keystore teststore1.jks -storepass secret -alias testkey3 -keyalg rsa -keysize 2048
erzeugt auch gleich ein self-signed Zertikat, weil Keystores immer ein Zertikat zum Key brauchen die bei -genkeypair gemachten Angaben fr den Subject-DN knnen spter nicht mehr gendert werden

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Schlssel und CSRs erzeugen - keytool


Key erzeugen keytool -genkeypair -keystore teststore1.jks -storepass secret -alias testkey3 -keyalg rsa -keysize 2048
erzeugt auch gleich ein self-signed Zertikat, weil Keystores immer ein Zertikat zum Key brauchen die bei -genkeypair gemachten Angaben fr den Subject-DN knnen spter nicht mehr gendert werden

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

CSR erzeugen keytool -certreq -keystore teststore1.jks -storepass secret -alias testkey3 -file csrtest3.csr.pem

Fragen Anhang Literatur

Zertikate erzeugen mit OpenSSL


self-signed Zertikat erzeugen openssl req -new -x509 -key rsatest1.key.pem -out rsatest1.crt.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Zertikate erzeugen mit OpenSSL


self-signed Zertikat erzeugen openssl req -new -x509 -key rsatest1.key.pem -out rsatest1.crt.pem CSR mit CA-Key unterschreiben openssl ca -in csrtest1.csr.pem -out crttest1.crt.pem (Aufsetzen einer CA siehe [13, createca.sh])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

CRLs mit OpenSSL


Zertikat mit CA-Key widerrufen openssl ca -revoke crttest1.crt.pem (trgt das Zertikat in der Zertikatsdatenbank als widerrufen ein)

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

CRLs mit OpenSSL


Zertikat mit CA-Key widerrufen openssl ca -revoke crttest1.crt.pem (trgt das Zertikat in der Zertikatsdatenbank als widerrufen ein) CRL signieren openssl ca -gencrl -out myca.crl (Informationen ber widerrufene Zertikate kommen aus der Zertikatsdatenbank)

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

CRLs mit OpenSSL


Zertikat mit CA-Key widerrufen openssl ca -revoke crttest1.crt.pem (trgt das Zertikat in der Zertikatsdatenbank als widerrufen ein) CRL signieren openssl ca -gencrl -out myca.crl (Informationen ber widerrufene Zertikate kommen aus der Zertikatsdatenbank) Prfen ob Zertikat in CRL ist openssl verify -CApath cadir -crl_check crttest1.crt.pem (CA-Zertikate und CRLs mssen in cadir liegen und richtig verlinkt sein [13, cacrllink.sh])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OCSP mit OpenSSL


OCSP-Endpoint starten openssl ocsp -index index.txt -CA ca/myca.crt.pem -rsigner ca/myca.crt.pem -rkey ca/private/myca.key.pem -port 8080 -nmin 10 (mehr dazu in meinem OCSP-Blogpost [14])

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OCSP mit OpenSSL


OCSP-Endpoint starten openssl ocsp -index index.txt -CA ca/myca.crt.pem -rsigner ca/myca.crt.pem -rkey ca/private/myca.key.pem -port 8080 -nmin 10 (mehr dazu in meinem OCSP-Blogpost [14]) OCSP-Prfung fr Zertikat durchfhren openssl ocsp -issuer myca.crt.pem -cert certtest1.crt.pem -url http://cahost:8080/ -resp_text

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

keytool - Informationen zu Keystores und Zertikaten


Inhalt eines Keystores auisten keytool -list -keystore teststore1.jks -storepass secret

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

keytool - Informationen zu Keystores und Zertikaten


Inhalt eines Keystores auisten keytool -list -keystore teststore1.jks -storepass secret Details zu Eintrag in Keystore anzeigen keytool -list -v -keystore teststore1.jks -alias testkey3 -storepass secret

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

keytool - Informationen zu Keystores und Zertikaten


Inhalt eines Keystores auisten keytool -list -keystore teststore1.jks -storepass secret Details zu Eintrag in Keystore anzeigen keytool -list -v -keystore teststore1.jks -alias testkey3 -storepass secret Details zu Zertikat in Datei anzeigen keytool -printcert -v -file testcert1.crt.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Informationen zu Keys, CSRs und Zertikaten


Details zu RSA-Key anzeigen openssl rsa -in rsatest1.key -noout -text

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Informationen zu Keys, CSRs und Zertikaten


Details zu RSA-Key anzeigen openssl rsa -in rsatest1.key -noout -text Details zu CSR anzeigen openssl req -in csrtest1.csr.pem -noout -text

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Informationen zu Keys, CSRs und Zertikaten


Details zu RSA-Key anzeigen openssl rsa -in rsatest1.key -noout -text Details zu CSR anzeigen openssl req -in csrtest1.csr.pem -noout -text Details zu Zertikat (PEM) anzeigen openssl x509 -in testcert1.crt.pem -noout -text

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Informationen zu Keys, CSRs und Zertikaten


Details zu RSA-Key anzeigen openssl rsa -in rsatest1.key -noout -text Details zu CSR anzeigen openssl req -in csrtest1.csr.pem -noout -text Details zu Zertikat (PEM) anzeigen openssl x509 -in testcert1.crt.pem -noout -text Details zu Zertikat (DER) anzeigen openssl x509 -inform der -in testcert1.crt -noout -text

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Informationen zu PKCS#12-Keystores


Informationen zu PKCS#12-Keystore anzeigen openssl pkcs12 -info -in /teststore1.p12 -noout

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

OpenSSL - Informationen zu PKCS#12-Keystores


Informationen zu PKCS#12-Keystore anzeigen openssl pkcs12 -info -in /teststore1.p12 -noout Client-Zertikate aus PKCS#12-Keystore anzeigen openssl pkcs12 -info -in /teststore1.p12 -nokeys -nodes -clcerts

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Konvertierung von Zertikaten - Teil 1


PEM mit Textinformationen (so wie es oft von CAs kommt) zu PEM ohne Textinformationen (so wie es meist gebraucht wird): openssl x509 -in cert_full.pem -out cert.pem

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Konvertierung von Zertikaten - Teil 1


PEM mit Textinformationen (so wie es oft von CAs kommt) zu PEM ohne Textinformationen (so wie es meist gebraucht wird): openssl x509 -in cert_full.pem -out cert.pem PEM in DER: openssl x509 -in cert.pem -outform der -out cert.der

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Konvertierung von Zertikaten - Teil 1


PEM mit Textinformationen (so wie es oft von CAs kommt) zu PEM ohne Textinformationen (so wie es meist gebraucht wird): openssl x509 -in cert_full.pem -out cert.pem PEM in DER: openssl x509 -in cert.pem -outform der -out cert.der verschlsselten RSA-Key (mit Passwortschutz) in unverschlsselten: openssl rsa -in encrypted.key.pem -out key.pem -passin pass:secret

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Konvertierung von Zertikaten - Teil 2


PEM-Zertikat, PEM-CA-Zertikate und PEM-Key zu PKCS#12: openssl pkcs12 -export -chain -inkey key.pem -in cert.pem -CAfile cacerts.pem -out cert.p12 -name certalias -passin pass:secret -passout pass:secret

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Konvertierung von Zertikaten - Teil 2


PEM-Zertikat, PEM-CA-Zertikate und PEM-Key zu PKCS#12: openssl pkcs12 -export -chain -inkey key.pem -in cert.pem -CAfile cacerts.pem -out cert.p12 -name certalias -passin pass:secret -passout pass:secret PKCS#12 zu JKS: keytool -importkeystore -srckeystore cert.p12 -destkeystore cert.jks -srcstoretype pkcs12 -deststoretype jks -srcstorepass secret -deststorepass secret -srcalias certalias -destalias certalias -srckeypass secret -destkeypass secret

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

openssl als Testserver und -client


Testserver starten openssl s_server -cert server.crt.pem -key server.key.pem -tls1 -www

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

openssl als Testserver und -client


Testserver starten openssl s_server -cert server.crt.pem -key server.key.pem -tls1 -www Testclient starten openssl s_client -connect localhost:4433 -CApath cadir

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Wann brauche ich eigenen Code?


Zertikate mit kaputten Daten erzeugen (z.B. fr Tests)

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Wann brauche ich eigenen Code?


Zertikate mit kaputten Daten erzeugen (z.B. fr Tests) direkter Import von privaten Schlsseln in JKS-Keystores ohne Umweg ber PKCS#12

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Wann brauche ich eigenen Code?


Zertikate mit kaputten Daten erzeugen (z.B. fr Tests) direkter Import von privaten Schlsseln in JKS-Keystores ohne Umweg ber PKCS#12 weitere kreative Ideen

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Gibt es noch Fragen?

Begriserklrungen Allgemeines Symmetrische/Secret-Key Verschlsselung Asymmetrische/Public-Key Verschlsselung PKI-Begrie Sonstiges Dateiformate Zertikatlebenszyklus Praktisches Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code? Anhang
. . . . . .

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Referenzierte Dokumente I
[1] Wikipedia. Data Encryption Standard. 2011. url: http://de.wikipedia.org/wiki/Data_ Encryption_Standard. Wikipedia. RSA-Kryptosystem. 2011. url: http: //de.wikipedia.org/wiki/RSA-Kryptosystem. Wikipedia. Elgamal-Kryptosystem. 2011. url: http://de.wikipedia.org/wiki/ElGamalKryptosystem. Wikipedia. Die-Hellman-Schlsselaustausch. 2011. url: http: //de.wikipedia.org/wiki/Diffie-Hellman.

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

[2] [3]

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren

[4]

TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur

Referenzierte Dokumente II
[5] D. Cooper u. a. Internet X.509 Public Key Infrastructure Certicate and Certicate Revocation List (CRL) Prole. RFC 5280 (Proposed Standard). Internet Engineering Task Force, Mai 2008. url: http://www.ietf.org/rfc/rfc5280.txt. M. Nystrom und B. Kaliski. PKCS #10: Certication Request Syntax Specication Version 1.7. RFC 2986 (Informational). Updated by RFC 5967. Internet Engineering Task Force, Nov. 2000. url: http://www.ietf.org/rfc/rfc2986.txt. RSA Laboratories. Public-Key Cryptography Standards. 1991. url: http://rsa.com/rsalabs/node.asp?id=2124. Wikipedia. Abstract Syntax Notation One. 2011. url: http://de.wikipedia.org/wiki/ASN.1.
. . . . . .

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

[6]

[7]

Fragen Anhang Literatur

[8]

Referenzierte Dokumente III


[9] R. Housley. Cryptographic Message Syntax (CMS). RFC 5652 (Standard). Internet Engineering Task Force, Sep. 2009. url: http://www.ietf.org/rfc/rfc5652.txt. B. Ramsdell. Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specication. RFC 3851 (Proposed Standard). Obsoleted by RFC 5751. Internet Engineering Task Force, Juli 2004. url: http://www.ietf.org/rfc/rfc3851.txt. T. Dierks und E. Rescorla. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). Updated by RFCs 5746, 5878, 6176. Internet Engineering Task Force, Aug. 2008. url: http://www.ietf.org/rfc/rfc5246.txt.
. . . . . .

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

[10]

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

[11]

Fragen Anhang Literatur

Referenzierte Dokumente IV
[12] Wikipedia. Transport Layer Security. 2011. url: http://de.wikipedia.org/wiki/Transport_ Layer_Security. Jan Dittberner. OpenSSL Kongurationsbeispiele. 2011. url: http://git.dittberner.info/ ?p=osslconfexamples.git;a=tree. Jan Dittberner. Techblog-Post: OCSP-Endpoint mit OpenSSL. 13. Apr. 2011. url: http://www.communardo.de/home/techblog/201 1/04/13/ocsp-endpoint-mit-openssl/.

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung

[13]

PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

[14]

Fragen Anhang Literatur

Kontakt
Jan Dittberner Communardo Software GmbH E-Mail: jan.dittberner@communardo.de http://www.communardo.de/ home/techblog/author/jdi

Keytool, OpenSSL und Co. Jan Dittberner Begrie


Allgemeines Sym. Verschlsselung Asym. Verschlsselung PKI Sonstiges

Dateiformate Lebenszyklus Praktisches


Werkzeuge Zertikatslebenszyklus Informationen zu Krypomaterial Zertikate konvertieren TLS-Tests mit OpenSSL eigener Code?

Fragen Anhang Literatur