Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
-
Upload
jan-dittberner -
Category
Technology
-
view
4.884 -
download
3
description
Transcript of Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
Keytool, OpenSSL und Co.Wofür nehme ich was und Warum?
Jan Dittberner
Communardo Software GmbH, Dresden
05.05.2011
. . . . . .
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Zusammenfassung
Kryptografie ist ein recht komplexes Thema, verbundenmit vielen Begriffen und Abkürzungen. In diesemVortrag werden Begriffe erklärt und in Zusammenhanggebracht und die praktische Anwendung vonWerkzeugen insbesondere im Java-Umfeld gezeigt.
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
BegriffserklärungenAllgemeinesSymmetrische/Secret-Key VerschlüsselungAsymmetrische/Public-Key VerschlüsselungPKI-BegriffeSonstiges
Dateiformate
Zertifikatlebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zu KrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Anhang
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
AllgemeinesMessage Digest Hashfunktion, die möglichst kollisionsfrei
Nachrichten auf einen Zahlenwert abbilden,gängige Vertreter sind MD5, SHA-1 und dieSHA-2-Familie (SHA-224, SHA-256, SHA-384,SHA-512)
MAC, Message Authentication Code kryptografischgesicherte Prüfsumme für eine Nachricht, mitder Integrität und Authentizität geprüft werdenkönnen
HMAC Verwendung eines mit einem symmetrischenVerschlüsselungsverfahren verschlüsseltenMessage Digests als MAC
Signatur mit einem asymmetrischen Verfahrenverschlüsselter Message Digest einer Nachricht
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
AllgemeinesMessage Digest Hashfunktion, die möglichst kollisionsfrei
Nachrichten auf einen Zahlenwert abbilden,gängige Vertreter sind MD5, SHA-1 und dieSHA-2-Familie (SHA-224, SHA-256, SHA-384,SHA-512)
MAC, Message Authentication Code kryptografischgesicherte Prüfsumme für eine Nachricht, mitder Integrität und Authentizität geprüft werdenkönnen
HMAC Verwendung eines mit einem symmetrischenVerschlüsselungsverfahren verschlüsseltenMessage Digests als MAC
Signatur mit einem asymmetrischen Verfahrenverschlüsselter Message Digest einer Nachricht
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
AllgemeinesMessage Digest Hashfunktion, die möglichst kollisionsfrei
Nachrichten auf einen Zahlenwert abbilden,gängige Vertreter sind MD5, SHA-1 und dieSHA-2-Familie (SHA-224, SHA-256, SHA-384,SHA-512)
MAC, Message Authentication Code kryptografischgesicherte Prüfsumme für eine Nachricht, mitder Integrität und Authentizität geprüft werdenkönnen
HMAC Verwendung eines mit einem symmetrischenVerschlüsselungsverfahren verschlüsseltenMessage Digests als MAC
Signatur mit einem asymmetrischen Verfahrenverschlüsselter Message Digest einer Nachricht
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
AllgemeinesMessage Digest Hashfunktion, die möglichst kollisionsfrei
Nachrichten auf einen Zahlenwert abbilden,gängige Vertreter sind MD5, SHA-1 und dieSHA-2-Familie (SHA-224, SHA-256, SHA-384,SHA-512)
MAC, Message Authentication Code kryptografischgesicherte Prüfsumme für eine Nachricht, mitder Integrität und Authentizität geprüft werdenkönnen
HMAC Verwendung eines mit einem symmetrischenVerschlüsselungsverfahren verschlüsseltenMessage Digests als MAC
Signatur mit einem asymmetrischen Verfahrenverschlüsselter Message Digest einer Nachricht
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Symmetrische/Secret-Key VerschlüsselungI alle Beteiligten haben den gleichen geheimen Schlüssel
I der geheime Schlüssel wird für Ver- und Entschlüsselungverwendet
Abbildung: symmetrische Ver- und Entschlüsselung
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Symmetrische/Secret-Key VerschlüsselungI alle Beteiligten haben den gleichen geheimen SchlüsselI der geheime Schlüssel wird für Ver- und Entschlüsselung
verwendet
Abbildung: symmetrische Ver- und Entschlüsselung
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Symmetrische Verschlüsselunggeheimer Schlüssel, secret key gemeinsamer geheimer
Schlüssel der Kommunikationspartner beisymmetrischen Verschlüsselungsverfahren
DES, Data Encryption Standard inzwischen als veraltetangesehenes symmetrischesVerschlüsselungsverfahren mit einerSchlüssellänge von 56 Bit
3DES, Tripple DES, DESede Interimslösung vor Einführungvon AES bei der DES-Verschlüsselung-Entschlüsselung-Verschlüsselung mit dreiunterschiedlichen Schlüsseln durchgeführt wird(siehe Wikipedia [1, Triple-DES])
AES, Advanced Encryption Standard, Rijndael aktuellessymmetrisches Verschlüsselungsverfahren mitSchlüssellängen von 128, 192 oder 256 Bit
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Symmetrische Verschlüsselunggeheimer Schlüssel, secret key gemeinsamer geheimer
Schlüssel der Kommunikationspartner beisymmetrischen Verschlüsselungsverfahren
DES, Data Encryption Standard inzwischen als veraltetangesehenes symmetrischesVerschlüsselungsverfahren mit einerSchlüssellänge von 56 Bit
3DES, Tripple DES, DESede Interimslösung vor Einführungvon AES bei der DES-Verschlüsselung-Entschlüsselung-Verschlüsselung mit dreiunterschiedlichen Schlüsseln durchgeführt wird(siehe Wikipedia [1, Triple-DES])
AES, Advanced Encryption Standard, Rijndael aktuellessymmetrisches Verschlüsselungsverfahren mitSchlüssellängen von 128, 192 oder 256 Bit
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Symmetrische Verschlüsselunggeheimer Schlüssel, secret key gemeinsamer geheimer
Schlüssel der Kommunikationspartner beisymmetrischen Verschlüsselungsverfahren
DES, Data Encryption Standard inzwischen als veraltetangesehenes symmetrischesVerschlüsselungsverfahren mit einerSchlüssellänge von 56 Bit
3DES, Tripple DES, DESede Interimslösung vor Einführungvon AES bei der DES-Verschlüsselung-Entschlüsselung-Verschlüsselung mit dreiunterschiedlichen Schlüsseln durchgeführt wird(siehe Wikipedia [1, Triple-DES])
AES, Advanced Encryption Standard, Rijndael aktuellessymmetrisches Verschlüsselungsverfahren mitSchlüssellängen von 128, 192 oder 256 Bit
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Symmetrische Verschlüsselunggeheimer Schlüssel, secret key gemeinsamer geheimer
Schlüssel der Kommunikationspartner beisymmetrischen Verschlüsselungsverfahren
DES, Data Encryption Standard inzwischen als veraltetangesehenes symmetrischesVerschlüsselungsverfahren mit einerSchlüssellänge von 56 Bit
3DES, Tripple DES, DESede Interimslösung vor Einführungvon AES bei der DES-Verschlüsselung-Entschlüsselung-Verschlüsselung mit dreiunterschiedlichen Schlüsseln durchgeführt wird(siehe Wikipedia [1, Triple-DES])
AES, Advanced Encryption Standard, Rijndael aktuellessymmetrisches Verschlüsselungsverfahren mitSchlüssellängen von 128, 192 oder 256 Bit
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische/Public-Key VerschlüsselungI jeder Kommunikationspartner hat einen geheimen
privaten Schlüssel und veröffentlicht einen öffentlichenSchlüssel
I der private Schlüssel dient dazu Signaturen anzufertigenund Nachrichten zu entschlüsseln
I der öffentliche Schlüssel dient dazu Nachrichten zuverschlüsseln und Signaturen zu prüfen
Abbildung: asymmetrische Ver- und Entschlüsselung
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische/Public-Key VerschlüsselungI jeder Kommunikationspartner hat einen geheimen
privaten Schlüssel und veröffentlicht einen öffentlichenSchlüssel
I der private Schlüssel dient dazu Signaturen anzufertigenund Nachrichten zu entschlüsseln
I der öffentliche Schlüssel dient dazu Nachrichten zuverschlüsseln und Signaturen zu prüfen
Abbildung: asymmetrische Ver- und Entschlüsselung
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische/Public-Key VerschlüsselungI jeder Kommunikationspartner hat einen geheimen
privaten Schlüssel und veröffentlicht einen öffentlichenSchlüssel
I der private Schlüssel dient dazu Signaturen anzufertigenund Nachrichten zu entschlüsseln
I der öffentliche Schlüssel dient dazu Nachrichten zuverschlüsseln und Signaturen zu prüfen
Abbildung: asymmetrische Ver- und Entschlüsselung
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - Schlüssel
privater Schlüssel, private key geheimer Teil einesSchlüssels, der für Signaturen undEntschlüsselung verwendet werdenkann
öffentlicher Schlüssel, public key öffentlicher Teileines Schlüssels, der zumVerschlüsseln und zum Prüfen vonSignaturen verwendet werden kann
Schlüsselpaar, key pair ein Paar aus öffentlichemund dazugehörigem privatemSchlüssel
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - Schlüssel
privater Schlüssel, private key geheimer Teil einesSchlüssels, der für Signaturen undEntschlüsselung verwendet werdenkann
öffentlicher Schlüssel, public key öffentlicher Teileines Schlüssels, der zumVerschlüsseln und zum Prüfen vonSignaturen verwendet werden kann
Schlüsselpaar, key pair ein Paar aus öffentlichemund dazugehörigem privatemSchlüssel
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - Schlüssel
privater Schlüssel, private key geheimer Teil einesSchlüssels, der für Signaturen undEntschlüsselung verwendet werdenkann
öffentlicher Schlüssel, public key öffentlicher Teileines Schlüssels, der zumVerschlüsseln und zum Prüfen vonSignaturen verwendet werden kann
Schlüsselpaar, key pair ein Paar aus öffentlichemund dazugehörigem privatemSchlüssel
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - RSA, ElgamalRSA asymmetrisches Verschlüsselungs-
und Signatur-Verfahren (benanntnach den Erfindern Rivest, Shamirund Adleman) beruht auf demProblem große Zahlen in ihrePrimfaktoren zu zerlegen (Wikipediazu RSA-Kryptosystem [2])
Elgamal asymmetrisches Verschlüsselungs-und Signatur-Verfahren, beruht aufdem Problem des diskretenLogarithmus (Wikipedia zuElgamal-Kryptosystem [3])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - RSA, ElgamalRSA asymmetrisches Verschlüsselungs-
und Signatur-Verfahren (benanntnach den Erfindern Rivest, Shamirund Adleman) beruht auf demProblem große Zahlen in ihrePrimfaktoren zu zerlegen (Wikipediazu RSA-Kryptosystem [2])
Elgamal asymmetrisches Verschlüsselungs-und Signatur-Verfahren, beruht aufdem Problem des diskretenLogarithmus (Wikipedia zuElgamal-Kryptosystem [3])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - DSA, ECDSADSA, Digital Signature Algorithm im Auftrag der
US-Regierung entwickeltes Verfahren fürdigitale Signaturen
ECDSA, Elliptic Curve DSA erweiterte Variante von DSA,die statt großen Primzahlen Punkte aufelliptischen Kurven als Schlüsselwerteverwendet
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - DSA, ECDSADSA, Digital Signature Algorithm im Auftrag der
US-Regierung entwickeltes Verfahren fürdigitale Signaturen
ECDSA, Elliptic Curve DSA erweiterte Variante von DSA,die statt großen Primzahlen Punkte aufelliptischen Kurven als Schlüsselwerteverwendet
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - DH und ECDHDH, Diffie-Hellman Verfahren für den Austausch von
Session-Schlüsseln über unsichere Kanäle(siehe Wikipedia [4]). Diffie-Hellman istGrundlage des Elgamal-Kryptosystems (basiertauf diskreten Logarithmen)
ECDH, Elliptic curve Diffie–Hellman verwendet elliptischeKurven statt große Zufallszahlen
Abbildung: Prinzip des Diffie-Hellman-Schlüsselaustauschs, Quelle:Wikipedia
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - DH und ECDHDH, Diffie-Hellman Verfahren für den Austausch von
Session-Schlüsseln über unsichere Kanäle(siehe Wikipedia [4]). Diffie-Hellman istGrundlage des Elgamal-Kryptosystems (basiertauf diskreten Logarithmen)
ECDH, Elliptic curve Diffie–Hellman verwendet elliptischeKurven statt große Zufallszahlen
Abbildung: Prinzip des Diffie-Hellman-Schlüsselaustauschs, Quelle:Wikipedia
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Asymmetrische Verschlüsselung - DH und ECDHDH, Diffie-Hellman Verfahren für den Austausch von
Session-Schlüsseln über unsichere Kanäle(siehe Wikipedia [4]). Diffie-Hellman istGrundlage des Elgamal-Kryptosystems (basiertauf diskreten Logarithmen)
ECDH, Elliptic curve Diffie–Hellman verwendet elliptischeKurven statt große Zufallszahlen
Abbildung: Prinzip des Diffie-Hellman-Schlüsselaustauschs, Quelle:Wikipedia
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Begriffe aus dem PKI-Umfeld - Teil 1PKI, Public Key Infrastructure System zum Beantragen,
Ausstellen, Verteilen und Prüfen vonZertifikaten
CA, Certicate Authority eine CA stellt Zertifikate füröffentliche Schlüssel aus und garantiert damitdie Zugehörigkeit des privaten Schlüssels zuseinem Besitzer
Zertifikat ein Zertifikat ist ein digital signierter PublicKey mit zusätzlichen Attributen
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Begriffe aus dem PKI-Umfeld - Teil 1PKI, Public Key Infrastructure System zum Beantragen,
Ausstellen, Verteilen und Prüfen vonZertifikaten
CA, Certicate Authority eine CA stellt Zertifikate füröffentliche Schlüssel aus und garantiert damitdie Zugehörigkeit des privaten Schlüssels zuseinem Besitzer
Zertifikat ein Zertifikat ist ein digital signierter PublicKey mit zusätzlichen Attributen
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Begriffe aus dem PKI-Umfeld - Teil 1PKI, Public Key Infrastructure System zum Beantragen,
Ausstellen, Verteilen und Prüfen vonZertifikaten
CA, Certicate Authority eine CA stellt Zertifikate füröffentliche Schlüssel aus und garantiert damitdie Zugehörigkeit des privaten Schlüssels zuseinem Besitzer
Zertifikat ein Zertifikat ist ein digital signierter PublicKey mit zusätzlichen Attributen
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Begriffe aus dem PKI-Umfeld - Teil 2X.509 ITU-T-Standard für eine PKI, fordert ein
hierarchisches System von vertrauenswürdigenZertifizierungsstellen (CAs), Zertifikaten undSperrlisten
PKIX IETF-Profil von X.509 welches konkrete Detailsfür Zertifikate und CRLs, sowieX.509-Extensions definiert (RFC-5280 [5])
CSR, Certificate Signing Request wird mit dem privatenSchlüssel signiert und an eine CA zumSignieren gegeben, enthält Wünsche fürParameter des Zertifikats (Subject undX.509-Extensions), spezifiziert in RFC-2986 [6]
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Begriffe aus dem PKI-Umfeld - Teil 2X.509 ITU-T-Standard für eine PKI, fordert ein
hierarchisches System von vertrauenswürdigenZertifizierungsstellen (CAs), Zertifikaten undSperrlisten
PKIX IETF-Profil von X.509 welches konkrete Detailsfür Zertifikate und CRLs, sowieX.509-Extensions definiert (RFC-5280 [5])
CSR, Certificate Signing Request wird mit dem privatenSchlüssel signiert und an eine CA zumSignieren gegeben, enthält Wünsche fürParameter des Zertifikats (Subject undX.509-Extensions), spezifiziert in RFC-2986 [6]
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Begriffe aus dem PKI-Umfeld - Teil 2X.509 ITU-T-Standard für eine PKI, fordert ein
hierarchisches System von vertrauenswürdigenZertifizierungsstellen (CAs), Zertifikaten undSperrlisten
PKIX IETF-Profil von X.509 welches konkrete Detailsfür Zertifikate und CRLs, sowieX.509-Extensions definiert (RFC-5280 [5])
CSR, Certificate Signing Request wird mit dem privatenSchlüssel signiert und an eine CA zumSignieren gegeben, enthält Wünsche fürParameter des Zertifikats (Subject undX.509-Extensions), spezifiziert in RFC-2986 [6]
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Begriffe aus dem PKI-Umfeld - Teil 3CRL, Certificate Revocation List Zertifikatssperrlisten
werden von CAs herausgegeben umwiderrufene Zertifikate bekanntzugeben
OCSP, Online Certificate Status Protocol ein meist perHTTP zur Verfügung gestellter Dienst der CAsum direkt zu prüfen, ob ein Zertifikatwiderrufen wurde
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Begriffe aus dem PKI-Umfeld - Teil 3CRL, Certificate Revocation List Zertifikatssperrlisten
werden von CAs herausgegeben umwiderrufene Zertifikate bekanntzugeben
OCSP, Online Certificate Status Protocol ein meist perHTTP zur Verfügung gestellter Dienst der CAsum direkt zu prüfen, ob ein Zertifikatwiderrufen wurde
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Sonstige BegriffePKCS, Public Key Cryptography Standard eine Serie von
Dokumenten zu kryptografischen Verfahren derFirma RSA-Laboratories [7] viele davon sind inanderen Standards aufgenommen worden
ASN.1, Abstract Syntax Notation One Standard fürTextbeschreibung von Binärcodierung mit derdie Daten fast aller kryptografischen Verfahrenin den jeweiligen Standards beschrieben werden(siehe Wikipedia [8])
CMS, Cryptographic Message Syntax Standard für dieSignierung und Verschlüsselung vonNachrichten, nutzt X.509-Infrastruktur fürSchlüssel (spezifiziert in RFC-5652 [9])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Sonstige BegriffePKCS, Public Key Cryptography Standard eine Serie von
Dokumenten zu kryptografischen Verfahren derFirma RSA-Laboratories [7] viele davon sind inanderen Standards aufgenommen worden
ASN.1, Abstract Syntax Notation One Standard fürTextbeschreibung von Binärcodierung mit derdie Daten fast aller kryptografischen Verfahrenin den jeweiligen Standards beschrieben werden(siehe Wikipedia [8])
CMS, Cryptographic Message Syntax Standard für dieSignierung und Verschlüsselung vonNachrichten, nutzt X.509-Infrastruktur fürSchlüssel (spezifiziert in RFC-5652 [9])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Sonstige BegriffePKCS, Public Key Cryptography Standard eine Serie von
Dokumenten zu kryptografischen Verfahren derFirma RSA-Laboratories [7] viele davon sind inanderen Standards aufgenommen worden
ASN.1, Abstract Syntax Notation One Standard fürTextbeschreibung von Binärcodierung mit derdie Daten fast aller kryptografischen Verfahrenin den jeweiligen Standards beschrieben werden(siehe Wikipedia [8])
CMS, Cryptographic Message Syntax Standard für dieSignierung und Verschlüsselung vonNachrichten, nutzt X.509-Infrastruktur fürSchlüssel (spezifiziert in RFC-5652 [9])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Sonstige BegriffeS/MIME Standard für Signatur und Verschlüsselung von
MIME-Nachrichten auf Basis von CMS,benötigt X.509-Zertifikate, wird hauptsächlichfür E-Mail, kann aber auch für Web Servicesund andere MIME-Anwendungen verwendetwerden (spezifiziert in RFC-3851 [10])
SSL, Secure Sockets Layer, TLS, Transport Layer Securityhybride Verschlüsselung fürSocket-Verbindungen. TLS ist der von derIETF standardisierte Nachfolger von SSL(TLS 1.2 spezifiziert in RFC-5246 [11])
TLS-Handshake Verfahren zur Aushandlung derVerbindungsparameter bei TLS (guteBeschreibung in Wikipedia [12])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Sonstige BegriffeS/MIME Standard für Signatur und Verschlüsselung von
MIME-Nachrichten auf Basis von CMS,benötigt X.509-Zertifikate, wird hauptsächlichfür E-Mail, kann aber auch für Web Servicesund andere MIME-Anwendungen verwendetwerden (spezifiziert in RFC-3851 [10])
SSL, Secure Sockets Layer, TLS, Transport Layer Securityhybride Verschlüsselung fürSocket-Verbindungen. TLS ist der von derIETF standardisierte Nachfolger von SSL(TLS 1.2 spezifiziert in RFC-5246 [11])
TLS-Handshake Verfahren zur Aushandlung derVerbindungsparameter bei TLS (guteBeschreibung in Wikipedia [12])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Sonstige BegriffeS/MIME Standard für Signatur und Verschlüsselung von
MIME-Nachrichten auf Basis von CMS,benötigt X.509-Zertifikate, wird hauptsächlichfür E-Mail, kann aber auch für Web Servicesund andere MIME-Anwendungen verwendetwerden (spezifiziert in RFC-3851 [10])
SSL, Secure Sockets Layer, TLS, Transport Layer Securityhybride Verschlüsselung fürSocket-Verbindungen. TLS ist der von derIETF standardisierte Nachfolger von SSL(TLS 1.2 spezifiziert in RFC-5246 [11])
TLS-Handshake Verfahren zur Aushandlung derVerbindungsparameter bei TLS (guteBeschreibung in Wikipedia [12])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Sonstige BegriffePGP, OpenPGP Alternative für einige Anwendungsfälle von
X.509 (S/MIME, CMS), bei der dieVertrauenswürdigkeit nicht durch eineHierarchie von CAs sondern durch einWeb-Of-Trust gewährleistet wird. PGP ist dieursprüngliche Software, OpenPGP der späterentwickelte Standard dazu
GNUPG, GNU Privacy Guard freie, teils vomBundesministerium des Innern finanzierte,OpenPGP-Implementierung (in Version 2 auchmit S/MIME und X.509-Unterstützung)
SSH-Keys RSA-, DSA oder ECDSA-Schlüssel fürVerwendung mit Secure Shell, in der Regelohne Signatur
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Sonstige BegriffePGP, OpenPGP Alternative für einige Anwendungsfälle von
X.509 (S/MIME, CMS), bei der dieVertrauenswürdigkeit nicht durch eineHierarchie von CAs sondern durch einWeb-Of-Trust gewährleistet wird. PGP ist dieursprüngliche Software, OpenPGP der späterentwickelte Standard dazu
GNUPG, GNU Privacy Guard freie, teils vomBundesministerium des Innern finanzierte,OpenPGP-Implementierung (in Version 2 auchmit S/MIME und X.509-Unterstützung)
SSH-Keys RSA-, DSA oder ECDSA-Schlüssel fürVerwendung mit Secure Shell, in der Regelohne Signatur
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Sonstige BegriffePGP, OpenPGP Alternative für einige Anwendungsfälle von
X.509 (S/MIME, CMS), bei der dieVertrauenswürdigkeit nicht durch eineHierarchie von CAs sondern durch einWeb-Of-Trust gewährleistet wird. PGP ist dieursprüngliche Software, OpenPGP der späterentwickelte Standard dazu
GNUPG, GNU Privacy Guard freie, teils vomBundesministerium des Innern finanzierte,OpenPGP-Implementierung (in Version 2 auchmit S/MIME und X.509-Unterstützung)
SSH-Keys RSA-, DSA oder ECDSA-Schlüssel fürVerwendung mit Secure Shell, in der Regelohne Signatur
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
BegriffserklärungenAllgemeinesSymmetrische/Secret-Key VerschlüsselungAsymmetrische/Public-Key VerschlüsselungPKI-BegriffeSonstiges
Dateiformate
Zertifikatlebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zu KrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Anhang
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Tabelle: Dateiformate für Schlüssel und ZertifikateFormat typische DateiendungenDER .der, .crtPEM .crt, .pem, .csr.pem, .key.pemCSR .csr, .csr.pemJKS .jksPKCS#12 .pfx, .p12
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
DER-Format
Dateiendungen.der, .crt
VerwendungASN.1 DER (distinguished encoding rules) kodierteBinärform von X.509-Zertifikaten
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
PEM-FormatDateiendungen.crt, .pem, .csr.pem, .key.pem
VerwendungBase64-Variante von DER kodierten Zertifikaten, -Schlüsselnoder Certificate Signing Requests, die Art der Information istaus dem Dateianfang zu erkennen
Beispiel: RSA-Schlüssel
-----BEGIN RSA PRIVATE KEY-----MIIEowIBAAKCAQEAnV9xp3adb8vNfljrPktWXfMkkAElT1Zr7LZHWP1k1QkxPAzHa/ZBrpok9Cwxm3fh...APoP0gAuvgvv74V34z1IdwmpAuGc894US3uu5AKF7cTsTFU2WaQ1bSq/DlZX1X5CB59ZFCQeCrQ+u75F-----END RSA PRIVATE KEY-----
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
PEM-FormatDateiendungen.crt, .pem, .csr.pem, .key.pem
VerwendungBase64-Variante von DER kodierten Zertifikaten, -Schlüsselnoder Certificate Signing Requests, die Art der Information istaus dem Dateianfang zu erkennen
Beispiel: Certificate Signing Request
-----BEGIN CERTIFICATE REQUEST-----MIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzARITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5...yMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQqGn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T-----END CERTIFICATE REQUEST-----
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
PEM-FormatDateiendungen.crt, .pem, .csr.pem, .key.pem
VerwendungBase64-Variante von DER kodierten Zertifikaten, -Schlüsselnoder Certificate Signing Requests, die Art der Information istaus dem Dateianfang zu erkennen
Beispiel: X.509-Zertifikat
-----BEGIN CERTIFICATE-----MIIDXTCCAkWgAwIBAgIJAN5wwO9NJQ/MMA0GCSqGBAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEw...HptNKsF1qNl0Hud//5colueA44Q4zwVdVk3tfG36AQ==-----END CERTIFICATE-----
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
PEM-FormatDateiendungen.crt, .pem, .csr.pem, .key.pem
VerwendungBase64-Variante von DER kodierten Zertifikaten, -Schlüsselnoder Certificate Signing Requests, die Art der Information istaus dem Dateianfang zu erkennen
Beispiel: DSA-Schlüssel
-----BEGIN DSA PRIVATE KEY-----MIIDVgIBAAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUq/M3n90/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbS.../uQ73RuPSaWYd2ZLp/XNdpok9FkBQEglLxKcBz7RVsEJSEKeQgIhAOyJXfhC/dR9Ze/JMkfW0tdx+PiX-----END DSA PRIVATE KEY-----
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
PEM-FormatDateiendungen.crt, .pem, .csr.pem, .key.pem
VerwendungBase64-Variante von DER kodierten Zertifikaten, -Schlüsselnoder Certificate Signing Requests, die Art der Information istaus dem Dateianfang zu erkennen
Beispiel: DSA-Parameter
-----BEGIN DSA PARAMETERS-----MIICLAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUqE78990/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbSdMsf...vTtpWyBLmitxSbnW4v4kEbfJu2Id8xfd5kv2vmGeFCjWnHvUSG9Za2R4pJ5fF4lqu/Nwg08Ccylt+a4z-----END DSA PARAMETERS-----
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
CSR - Certificate Signing RequestDateiendungen.csr, .csr.pem
Verwendungin der Regel PEM-kodierter PKCS#10 Certificate SigningRequest, enthält Parameter für den Subject-Namen, optionalmit gewünschten X.509-ErweiterungenBeispiel: CSR in PEM-Format
-----BEGIN CERTIFICATE REQUEST-----MIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzARITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5...yMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQqGn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T-----END CERTIFICATE REQUEST-----
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
JKS - Java Keystore
Dateiendungen.jks
VerwendungJava-Keystore, proprietäres Format für KeyStores undTrustStores im Java-Umfeld, kann als vertrauenswürdigeingestufte Zertifikate und/oder Schlüsselpaare mitzugehörigen Zertifikaten enthalten
AnmerkungStandardpasswort (leider oft ungeändert) ist changeit
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
PKCS#12
Dateiendungen.p12, .pfx
VerwendungStandardformat für mit passwortbasierten Verfahren (PBE,password based encryption) verschlüsselte Container fürSchlüsselpaare mit deren Zertifikaten
AnmerkungDie mit dem JDK mitgelieferte PKCS#12-Implementierungist nur eingeschränkt standardkonform (kann z.B. keineZertifikate ohne private Schlüssel speichern)
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
BegriffserklärungenAllgemeinesSymmetrische/Secret-Key VerschlüsselungAsymmetrische/Public-Key VerschlüsselungPKI-BegriffeSonstiges
Dateiformate
Zertifikatlebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zu KrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Anhang
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Abbildung: Das Leben eines Zertifikats
...
Schlüsselpaar
..
Signing Request
..
CA-Key
..
Zertifikat
..
Widerruf
.
Ablauf
. Erneuer
n
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
BegriffserklärungenAllgemeinesSymmetrische/Secret-Key VerschlüsselungAsymmetrische/Public-Key VerschlüsselungPKI-BegriffeSonstiges
Dateiformate
Zertifikatlebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zu KrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Anhang
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
keytoolI Wird mit dem JDK mitgeliefert
I kann mit JKS- und rudimentär mit PKCS#12-Keystoresumgehen
I nutzt intern die JCE/JCA-APIs der Java-RuntimeI rudimentär zum Erzeugen von Schlüsseln und CSRs
geeignetI spezialisiert auf Verwaltung von Zertifikaten im
Java-spezifischen JKS-FormatI http://download.oracle.com/javase/6/docs/
technotes/tools/windows/keytool.html
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
keytoolI Wird mit dem JDK mitgeliefertI kann mit JKS- und rudimentär mit PKCS#12-Keystores
umgehen
I nutzt intern die JCE/JCA-APIs der Java-RuntimeI rudimentär zum Erzeugen von Schlüsseln und CSRs
geeignetI spezialisiert auf Verwaltung von Zertifikaten im
Java-spezifischen JKS-FormatI http://download.oracle.com/javase/6/docs/
technotes/tools/windows/keytool.html
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
keytoolI Wird mit dem JDK mitgeliefertI kann mit JKS- und rudimentär mit PKCS#12-Keystores
umgehenI nutzt intern die JCE/JCA-APIs der Java-Runtime
I rudimentär zum Erzeugen von Schlüsseln und CSRsgeeignet
I spezialisiert auf Verwaltung von Zertifikaten imJava-spezifischen JKS-Format
I http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
keytoolI Wird mit dem JDK mitgeliefertI kann mit JKS- und rudimentär mit PKCS#12-Keystores
umgehenI nutzt intern die JCE/JCA-APIs der Java-RuntimeI rudimentär zum Erzeugen von Schlüsseln und CSRs
geeignet
I spezialisiert auf Verwaltung von Zertifikaten imJava-spezifischen JKS-Format
I http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
keytoolI Wird mit dem JDK mitgeliefertI kann mit JKS- und rudimentär mit PKCS#12-Keystores
umgehenI nutzt intern die JCE/JCA-APIs der Java-RuntimeI rudimentär zum Erzeugen von Schlüsseln und CSRs
geeignetI spezialisiert auf Verwaltung von Zertifikaten im
Java-spezifischen JKS-Format
I http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
keytoolI Wird mit dem JDK mitgeliefertI kann mit JKS- und rudimentär mit PKCS#12-Keystores
umgehenI nutzt intern die JCE/JCA-APIs der Java-RuntimeI rudimentär zum Erzeugen von Schlüsseln und CSRs
geeignetI spezialisiert auf Verwaltung von Zertifikaten im
Java-spezifischen JKS-FormatI http://download.oracle.com/javase/6/docs/
technotes/tools/windows/keytool.html
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSLI OpenSource-Crypto-Implementierung
I bietet Funktionen für fast jeden Anwendungsfall imBereich der Kryptografie
I openssl als Kommandozeilen-Frontend einerC-Bibliothek
I http://www.openssl.org/
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSLI OpenSource-Crypto-ImplementierungI bietet Funktionen für fast jeden Anwendungsfall im
Bereich der Kryptografie
I openssl als Kommandozeilen-Frontend einerC-Bibliothek
I http://www.openssl.org/
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSLI OpenSource-Crypto-ImplementierungI bietet Funktionen für fast jeden Anwendungsfall im
Bereich der KryptografieI openssl als Kommandozeilen-Frontend einer
C-Bibliothek
I http://www.openssl.org/
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSLI OpenSource-Crypto-ImplementierungI bietet Funktionen für fast jeden Anwendungsfall im
Bereich der KryptografieI openssl als Kommandozeilen-Frontend einer
C-BibliothekI http://www.openssl.org/
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
eigener CodeI für einige Grenzfälle die OpenSSL nicht abdeckt
I für dynamische Erzeugung von Keys-, CSRs- oderZertifikaten z.B. für Tests
I kann z.B. mit der openssl-Library (C), m2crypto(Python) oder dem JDK in Zusammenarbeit mitBouncyCastle implementiert werden
I Aufwand meist recht hoch, also erst prüfen was opensslund keytool schon können
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
eigener CodeI für einige Grenzfälle die OpenSSL nicht abdecktI für dynamische Erzeugung von Keys-, CSRs- oder
Zertifikaten z.B. für Tests
I kann z.B. mit der openssl-Library (C), m2crypto(Python) oder dem JDK in Zusammenarbeit mitBouncyCastle implementiert werden
I Aufwand meist recht hoch, also erst prüfen was opensslund keytool schon können
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
eigener CodeI für einige Grenzfälle die OpenSSL nicht abdecktI für dynamische Erzeugung von Keys-, CSRs- oder
Zertifikaten z.B. für TestsI kann z.B. mit der openssl-Library (C), m2crypto
(Python) oder dem JDK in Zusammenarbeit mitBouncyCastle implementiert werden
I Aufwand meist recht hoch, also erst prüfen was opensslund keytool schon können
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
eigener CodeI für einige Grenzfälle die OpenSSL nicht abdecktI für dynamische Erzeugung von Keys-, CSRs- oder
Zertifikaten z.B. für TestsI kann z.B. mit der openssl-Library (C), m2crypto
(Python) oder dem JDK in Zusammenarbeit mitBouncyCastle implementiert werden
I Aufwand meist recht hoch, also erst prüfen was opensslund keytool schon können
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Tabelle: Entscheidungsmatrix für Crypto-Werkzeuge - Teil 1
gut geeignet eingeschränkt geeignet nicht geeignetAnwendungsfall keytool openssl eigenesRSA-Key erzeugenCSR erzeugenZertifikat (self-signed) erzeu-genZertifikat aus CSR signierenInformationen aus JKS anzei-genInformationen aus PEM an-zeigen
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Tabelle: Entscheidungsmatrix für Crypto-Werkzeuge - Teil 2
gut geeignet eingeschränkt geeignet nicht geeignetAnwendungsfall keytool openssl eigenesKeyPair als PEM speichernKeyPair aus PEM in JKS im-portierenKeyPair aus PKCS#12 inJKS importierenKey und Zertifikat inPKCS#12 umwandelnZertifikat in JKS importieren
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Tabelle: Entscheidungsmatrix für Crypto-Werkzeuge - Teil 3
gut geeignet eingeschränkt geeignet nicht geeignetAnwendungsfall keytool openssl eigenesVerwendung als CACRL erzeugenZertifikat gegen CRL prüfenTLS-Verbindung testenOCSP-Testserver betreibenZertifikat gegen OCSP prü-fen
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Zertifikats-LebenszyklusBeispiele der Verwendung von OpenSSL und keytool
I Erzeugen von Keys, CSRs, CRLs und ZertifikatenI Widerrufen von ZertifikatenI Test-OCSP-Endpoint und OCSP-Client
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Abbildung: Das Leben eines Zertifikats
...
Schlüsselpaar
..
Signing Request
..
CA-Key
..
Zertifikat
..
Widerruf
.
Ablauf
. Erneuer
n
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Schlüssel und CSRs erzeugenI Key erzeugen
openssl genrsa -out rsatest1.key.pem 2048
I CSR erzeugenopenssl req -new -key rsatest1.key.pem -outcsrtest1.csr.pem
I Key und CSR gemeinsam erzeugenopenssl req -new -newkey rsa:2048 -nodes-keyout rsatest2.key.pem -outcsrtest2.csr.pem
I CSR-Informationen anzeigenopenssl req -in csrtest2.csr.pem -noout -text
Über eine angepasste openssl-Konfigurationsdatei könnendem CSR auch gleich gewünschte X.509-Erweiterungenmitgegeben werden [13, clientcsr.conf]
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Schlüssel und CSRs erzeugenI Key erzeugen
openssl genrsa -out rsatest1.key.pem 2048I CSR erzeugen
openssl req -new -key rsatest1.key.pem -outcsrtest1.csr.pem
I Key und CSR gemeinsam erzeugenopenssl req -new -newkey rsa:2048 -nodes-keyout rsatest2.key.pem -outcsrtest2.csr.pem
I CSR-Informationen anzeigenopenssl req -in csrtest2.csr.pem -noout -text
Über eine angepasste openssl-Konfigurationsdatei könnendem CSR auch gleich gewünschte X.509-Erweiterungenmitgegeben werden [13, clientcsr.conf]
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Schlüssel und CSRs erzeugenI Key erzeugen
openssl genrsa -out rsatest1.key.pem 2048I CSR erzeugen
openssl req -new -key rsatest1.key.pem -outcsrtest1.csr.pem
I Key und CSR gemeinsam erzeugenopenssl req -new -newkey rsa:2048 -nodes-keyout rsatest2.key.pem -outcsrtest2.csr.pem
I CSR-Informationen anzeigenopenssl req -in csrtest2.csr.pem -noout -text
Über eine angepasste openssl-Konfigurationsdatei könnendem CSR auch gleich gewünschte X.509-Erweiterungenmitgegeben werden [13, clientcsr.conf]
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Schlüssel und CSRs erzeugenI Key erzeugen
openssl genrsa -out rsatest1.key.pem 2048I CSR erzeugen
openssl req -new -key rsatest1.key.pem -outcsrtest1.csr.pem
I Key und CSR gemeinsam erzeugenopenssl req -new -newkey rsa:2048 -nodes-keyout rsatest2.key.pem -outcsrtest2.csr.pem
I CSR-Informationen anzeigenopenssl req -in csrtest2.csr.pem -noout -text
Über eine angepasste openssl-Konfigurationsdatei könnendem CSR auch gleich gewünschte X.509-Erweiterungenmitgegeben werden [13, clientcsr.conf]
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Schlüssel und CSRs erzeugenI Key erzeugen
openssl genrsa -out rsatest1.key.pem 2048I CSR erzeugen
openssl req -new -key rsatest1.key.pem -outcsrtest1.csr.pem
I Key und CSR gemeinsam erzeugenopenssl req -new -newkey rsa:2048 -nodes-keyout rsatest2.key.pem -outcsrtest2.csr.pem
I CSR-Informationen anzeigenopenssl req -in csrtest2.csr.pem -noout -text
Über eine angepasste openssl-Konfigurationsdatei könnendem CSR auch gleich gewünschte X.509-Erweiterungenmitgegeben werden [13, clientcsr.conf]
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Schlüssel und CSRs erzeugen - keytoolI Key erzeugen
keytool -genkeypair -keystore teststore1.jks-storepass secret -alias testkey3 -keyalgrsa -keysize 2048
I erzeugt auch gleich ein self-signed Zertifikat, weilKeystores immer ein Zertifikat zum Key brauchen
I die bei -genkeypair gemachten Angaben für denSubject-DN können später nicht mehr geändert werden
I CSR erzeugenkeytool -certreq -keystore teststore1.jks-storepass secret -alias testkey3 -filecsrtest3.csr.pem
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Schlüssel und CSRs erzeugen - keytoolI Key erzeugen
keytool -genkeypair -keystore teststore1.jks-storepass secret -alias testkey3 -keyalgrsa -keysize 2048
I erzeugt auch gleich ein self-signed Zertifikat, weilKeystores immer ein Zertifikat zum Key brauchen
I die bei -genkeypair gemachten Angaben für denSubject-DN können später nicht mehr geändert werden
I CSR erzeugenkeytool -certreq -keystore teststore1.jks-storepass secret -alias testkey3 -filecsrtest3.csr.pem
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Zertifikate erzeugen mit OpenSSLI self-signed Zertifikat erzeugen
openssl req -new -x509 -key rsatest1.key.pem-out rsatest1.crt.pem
I CSR mit CA-Key unterschreibenopenssl ca -in csrtest1.csr.pem -outcrttest1.crt.pem(Aufsetzen einer CA siehe [13, createca.sh])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Zertifikate erzeugen mit OpenSSLI self-signed Zertifikat erzeugen
openssl req -new -x509 -key rsatest1.key.pem-out rsatest1.crt.pem
I CSR mit CA-Key unterschreibenopenssl ca -in csrtest1.csr.pem -outcrttest1.crt.pem(Aufsetzen einer CA siehe [13, createca.sh])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
CRLs mit OpenSSLI Zertifikat mit CA-Key widerrufen
openssl ca -revoke crttest1.crt.pem(trägt das Zertifikat in der Zertifikatsdatenbank alswiderrufen ein)
I CRL signierenopenssl ca -gencrl -out myca.crl(Informationen über widerrufene Zertifikate kommenaus der Zertifikatsdatenbank)
I Prüfen ob Zertifikat in CRL istopenssl verify -CApath cadir -crl_checkcrttest1.crt.pem(CA-Zertifikate und CRLs müssen in cadir liegen undrichtig verlinkt sein [13, cacrllink.sh])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
CRLs mit OpenSSLI Zertifikat mit CA-Key widerrufen
openssl ca -revoke crttest1.crt.pem(trägt das Zertifikat in der Zertifikatsdatenbank alswiderrufen ein)
I CRL signierenopenssl ca -gencrl -out myca.crl(Informationen über widerrufene Zertifikate kommenaus der Zertifikatsdatenbank)
I Prüfen ob Zertifikat in CRL istopenssl verify -CApath cadir -crl_checkcrttest1.crt.pem(CA-Zertifikate und CRLs müssen in cadir liegen undrichtig verlinkt sein [13, cacrllink.sh])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
CRLs mit OpenSSLI Zertifikat mit CA-Key widerrufen
openssl ca -revoke crttest1.crt.pem(trägt das Zertifikat in der Zertifikatsdatenbank alswiderrufen ein)
I CRL signierenopenssl ca -gencrl -out myca.crl(Informationen über widerrufene Zertifikate kommenaus der Zertifikatsdatenbank)
I Prüfen ob Zertifikat in CRL istopenssl verify -CApath cadir -crl_checkcrttest1.crt.pem(CA-Zertifikate und CRLs müssen in cadir liegen undrichtig verlinkt sein [13, cacrllink.sh])
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OCSP mit OpenSSLI OCSP-Endpoint starten
openssl ocsp -index index.txt -CAca/myca.crt.pem -rsigner ca/myca.crt.pem-rkey ca/private/myca.key.pem -port 8080-nmin 10(mehr dazu in meinem OCSP-Blogpost [14])
I OCSP-Prüfung für Zertifikat durchführenopenssl ocsp -issuer myca.crt.pem -certcerttest1.crt.pem -url http://cahost:8080/-resp_text
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OCSP mit OpenSSLI OCSP-Endpoint starten
openssl ocsp -index index.txt -CAca/myca.crt.pem -rsigner ca/myca.crt.pem-rkey ca/private/myca.key.pem -port 8080-nmin 10(mehr dazu in meinem OCSP-Blogpost [14])
I OCSP-Prüfung für Zertifikat durchführenopenssl ocsp -issuer myca.crt.pem -certcerttest1.crt.pem -url http://cahost:8080/-resp_text
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
keytool - Informationen zu Keystores undZertifikaten
I Inhalt eines Keystores auflisten keytool -list-keystore teststore1.jks -storepass secret
I Details zu Eintrag in Keystore anzeigen keytool-list -v -keystore teststore1.jks -aliastestkey3 -storepass secret
I Details zu Zertifikat in Datei anzeigen keytool-printcert -v -file testcert1.crt.pem
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
keytool - Informationen zu Keystores undZertifikaten
I Inhalt eines Keystores auflisten keytool -list-keystore teststore1.jks -storepass secret
I Details zu Eintrag in Keystore anzeigen keytool-list -v -keystore teststore1.jks -aliastestkey3 -storepass secret
I Details zu Zertifikat in Datei anzeigen keytool-printcert -v -file testcert1.crt.pem
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
keytool - Informationen zu Keystores undZertifikaten
I Inhalt eines Keystores auflisten keytool -list-keystore teststore1.jks -storepass secret
I Details zu Eintrag in Keystore anzeigen keytool-list -v -keystore teststore1.jks -aliastestkey3 -storepass secret
I Details zu Zertifikat in Datei anzeigen keytool-printcert -v -file testcert1.crt.pem
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Informationen zu Keys, CSRs undZertifikaten
I Details zu RSA-Key anzeigen openssl rsa -inrsatest1.key -noout -text
I Details zu CSR anzeigen openssl req -incsrtest1.csr.pem -noout -text
I Details zu Zertifikat (PEM) anzeigen openssl x509-in testcert1.crt.pem -noout -text
I Details zu Zertifikat (DER) anzeigen openssl x509-inform der -in testcert1.crt -noout -text
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Informationen zu Keys, CSRs undZertifikaten
I Details zu RSA-Key anzeigen openssl rsa -inrsatest1.key -noout -text
I Details zu CSR anzeigen openssl req -incsrtest1.csr.pem -noout -text
I Details zu Zertifikat (PEM) anzeigen openssl x509-in testcert1.crt.pem -noout -text
I Details zu Zertifikat (DER) anzeigen openssl x509-inform der -in testcert1.crt -noout -text
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Informationen zu Keys, CSRs undZertifikaten
I Details zu RSA-Key anzeigen openssl rsa -inrsatest1.key -noout -text
I Details zu CSR anzeigen openssl req -incsrtest1.csr.pem -noout -text
I Details zu Zertifikat (PEM) anzeigen openssl x509-in testcert1.crt.pem -noout -text
I Details zu Zertifikat (DER) anzeigen openssl x509-inform der -in testcert1.crt -noout -text
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Informationen zu Keys, CSRs undZertifikaten
I Details zu RSA-Key anzeigen openssl rsa -inrsatest1.key -noout -text
I Details zu CSR anzeigen openssl req -incsrtest1.csr.pem -noout -text
I Details zu Zertifikat (PEM) anzeigen openssl x509-in testcert1.crt.pem -noout -text
I Details zu Zertifikat (DER) anzeigen openssl x509-inform der -in testcert1.crt -noout -text
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Informationen zuPKCS#12-Keystores
I Informationen zu PKCS#12-Keystore anzeigen opensslpkcs12 -info -in /teststore1.p12 -noout
I Client-Zertifikate aus PKCS#12-Keystore anzeigenopenssl pkcs12 -info -in /teststore1.p12-nokeys -nodes -clcerts
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
OpenSSL - Informationen zuPKCS#12-Keystores
I Informationen zu PKCS#12-Keystore anzeigen opensslpkcs12 -info -in /teststore1.p12 -noout
I Client-Zertifikate aus PKCS#12-Keystore anzeigenopenssl pkcs12 -info -in /teststore1.p12-nokeys -nodes -clcerts
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Konvertierung von Zertifikaten - Teil 1I PEM mit Textinformationen (so wie es oft von CAs
kommt) zu PEM ohne Textinformationen (so wie esmeist gebraucht wird):openssl x509 -in cert_full.pem -out cert.pem
I PEM in DER:openssl x509 -in cert.pem -outform der-out cert.der
I verschlüsselten RSA-Key (mit Passwortschutz) inunverschlüsselten:openssl rsa -in encrypted.key.pem -outkey.pem -passin pass:secret
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Konvertierung von Zertifikaten - Teil 1I PEM mit Textinformationen (so wie es oft von CAs
kommt) zu PEM ohne Textinformationen (so wie esmeist gebraucht wird):openssl x509 -in cert_full.pem -out cert.pem
I PEM in DER:openssl x509 -in cert.pem -outform der-out cert.der
I verschlüsselten RSA-Key (mit Passwortschutz) inunverschlüsselten:openssl rsa -in encrypted.key.pem -outkey.pem -passin pass:secret
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Konvertierung von Zertifikaten - Teil 1I PEM mit Textinformationen (so wie es oft von CAs
kommt) zu PEM ohne Textinformationen (so wie esmeist gebraucht wird):openssl x509 -in cert_full.pem -out cert.pem
I PEM in DER:openssl x509 -in cert.pem -outform der-out cert.der
I verschlüsselten RSA-Key (mit Passwortschutz) inunverschlüsselten:openssl rsa -in encrypted.key.pem -outkey.pem -passin pass:secret
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Konvertierung von Zertifikaten - Teil 2I PEM-Zertifikat, PEM-CA-Zertifikate und PEM-Key zu
PKCS#12:openssl pkcs12 -export -chain -inkey key.pem-in cert.pem -CAfile cacerts.pem-out cert.p12 -name certalias-passin pass:secret -passout pass:secret
I PKCS#12 zu JKS:keytool -importkeystore-srckeystore cert.p12 -destkeystore cert.jks-srcstoretype pkcs12 -deststoretype jks-srcstorepass secret -deststorepass secret-srcalias certalias -destalias certalias-srckeypass secret -destkeypass secret
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Konvertierung von Zertifikaten - Teil 2I PEM-Zertifikat, PEM-CA-Zertifikate und PEM-Key zu
PKCS#12:openssl pkcs12 -export -chain -inkey key.pem-in cert.pem -CAfile cacerts.pem-out cert.p12 -name certalias-passin pass:secret -passout pass:secret
I PKCS#12 zu JKS:keytool -importkeystore-srckeystore cert.p12 -destkeystore cert.jks-srcstoretype pkcs12 -deststoretype jks-srcstorepass secret -deststorepass secret-srcalias certalias -destalias certalias-srckeypass secret -destkeypass secret
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
openssl als Testserver und -clientI Testserver starten
openssl s_server -cert server.crt.pem -keyserver.key.pem -tls1 -www
I Testclient startenopenssl s_client -connect localhost:4433-CApath cadir
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
openssl als Testserver und -clientI Testserver starten
openssl s_server -cert server.crt.pem -keyserver.key.pem -tls1 -www
I Testclient startenopenssl s_client -connect localhost:4433-CApath cadir
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Wann brauche ich eigenen Code?I Zertifikate mit ”kaputten“ Daten erzeugen (z.B. für
Tests)
I direkter Import von privaten Schlüsseln inJKS-Keystores ohne Umweg über PKCS#12
I … weitere kreative Ideen ,
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Wann brauche ich eigenen Code?I Zertifikate mit ”kaputten“ Daten erzeugen (z.B. für
Tests)I direkter Import von privaten Schlüsseln in
JKS-Keystores ohne Umweg über PKCS#12
I … weitere kreative Ideen ,
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Wann brauche ich eigenen Code?I Zertifikate mit ”kaputten“ Daten erzeugen (z.B. für
Tests)I direkter Import von privaten Schlüsseln in
JKS-Keystores ohne Umweg über PKCS#12I … weitere kreative Ideen ,
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Gibt es noch Fragen?
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
BegriffserklärungenAllgemeinesSymmetrische/Secret-Key VerschlüsselungAsymmetrische/Public-Key VerschlüsselungPKI-BegriffeSonstiges
Dateiformate
Zertifikatlebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zu KrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Anhang
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Referenzierte Dokumente I
[1] Wikipedia. Data Encryption Standard. 2011. url:http://de.wikipedia.org/wiki/Data_Encryption_Standard.
[2] Wikipedia. RSA-Kryptosystem. 2011. url: http://de.wikipedia.org/wiki/RSA-Kryptosystem.
[3] Wikipedia. Elgamal-Kryptosystem. 2011. url:http://de.wikipedia.org/wiki/ElGamal-Kryptosystem.
[4] Wikipedia. Diffie-Hellman-Schlüsselaustausch. 2011.url: http://de.wikipedia.org/wiki/Diffie-Hellman.
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Referenzierte Dokumente II[5] D. Cooper u. a. Internet X.509 Public Key
Infrastructure Certificate and Certificate RevocationList (CRL) Profile. RFC 5280 (Proposed Standard).Internet Engineering Task Force, Mai 2008. url:http://www.ietf.org/rfc/rfc5280.txt.
[6] M. Nystrom und B. Kaliski. PKCS #10: CertificationRequest Syntax Specification Version 1.7. RFC 2986(Informational). Updated by RFC 5967. InternetEngineering Task Force, Nov. 2000. url:http://www.ietf.org/rfc/rfc2986.txt.
[7] RSA Laboratories. Public-Key CryptographyStandards. 1991. url:http://rsa.com/rsalabs/node.asp?id=2124.
[8] Wikipedia. Abstract Syntax Notation One. 2011. url:http://de.wikipedia.org/wiki/ASN.1.
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Referenzierte Dokumente III[9] R. Housley. Cryptographic Message Syntax (CMS).
RFC 5652 (Standard). Internet Engineering TaskForce, Sep. 2009. url:http://www.ietf.org/rfc/rfc5652.txt.
[10] B. Ramsdell. Secure/Multipurpose Internet MailExtensions (S/MIME) Version 3.1 MessageSpecification. RFC 3851 (Proposed Standard).Obsoleted by RFC 5751. Internet Engineering TaskForce, Juli 2004. url:http://www.ietf.org/rfc/rfc3851.txt.
[11] T. Dierks und E. Rescorla. The Transport LayerSecurity (TLS) Protocol Version 1.2. RFC 5246(Proposed Standard). Updated by RFCs 5746, 5878,6176. Internet Engineering Task Force, Aug. 2008.url: http://www.ietf.org/rfc/rfc5246.txt.
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Referenzierte Dokumente IV[12] Wikipedia. Transport Layer Security. 2011. url:
http://de.wikipedia.org/wiki/Transport_Layer_Security.
[13] Jan Dittberner. OpenSSL Konfigurationsbeispiele.2011. url: http://git.dittberner.info/?p=osslconfexamples.git;a=tree.
[14] Jan Dittberner. Techblog-Post: OCSP-Endpoint mitOpenSSL. 13. Apr. 2011. url:http://www.communardo.de/home/techblog/2011/04/13/ocsp-endpoint-mit-openssl/.
Keytool, OpenSSLund Co.
Jan Dittberner
BegriffeAllgemeinesSym. VerschlüsselungAsym. VerschlüsselungPKISonstiges
Dateiformate
Lebenszyklus
PraktischesWerkzeugeZertifikatslebenszyklusInformationen zuKrypomaterialZertifikate konvertierenTLS-Tests mit OpenSSLeigener Code?
Fragen
Anhang
Literatur
. . . . . .
Kontakt
I Jan DittbernerI Communardo Software GmbHI E-Mail:
[email protected] http://www.communardo.de/
home/techblog/author/jdi