tachtler:let_s_encrypt_-_hpkp
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
tachtler:let_s_encrypt_-_hpkp [2018/10/12 07:03] – [DST Root CA X3 (Cross Signed)] klaus | tachtler:let_s_encrypt_-_hpkp [2021/03/06 11:00] (aktuell) – [/etc/httpd/conf/httpd.conf] klaus | ||
---|---|---|---|
Zeile 10: | Zeile 10: | ||
^ Beschreibung | ^ Beschreibung | ||
| Scott Helme | [[https:// | | Scott Helme | [[https:// | ||
- | | Let's Encrypt | [[https:// | + | | Let's Encrypt | [[https:// |
- | | Report URI | + | | Mozilla |
- | | re{raise}ace | + | |
===== Vorbereitung ===== | ===== Vorbereitung ===== | ||
Zeile 48: | Zeile 47: | ||
:!: **HINWEIS** - **Nachfolgend wird die Datei '' | :!: **HINWEIS** - **Nachfolgend wird die Datei '' | ||
- | ===== FINGERPRINT erstellen | + | ===== Zertifikate speichern |
Um bequem **FINGERPRINTs** aus der **in Benutzung befindlichen Zertifikatskette** erstellen zu können, ist es erforderlich, | Um bequem **FINGERPRINTs** aus der **in Benutzung befindlichen Zertifikatskette** erstellen zu können, ist es erforderlich, | ||
* '' | * '' | ||
zu extrahieren. | zu extrahieren. | ||
- | |||
- | ==== Zertifikate extrahieren ==== | ||
< | < | ||
Zeile 196: | Zeile 193: | ||
Anschließend können nun durch "**Cut & Paste**" | Anschließend können nun durch "**Cut & Paste**" | ||
- | ==== tachtler.net ==== | + | ==== Zertifikat: |
< | < | ||
# vim / | # vim / | ||
Zeile 242: | Zeile 239: | ||
</ | </ | ||
- | ==== Let's Encrypt Authority X3 (Aktive) ==== | + | ==== Zertitfikat: |
< | < | ||
# vim / | # vim / | ||
Zeile 274: | Zeile 271: | ||
</ | </ | ||
- | ==== Let's Encrypt Authority X4 (Backup) ==== | + | ==== Zertifikat: |
Unter nachfolgendem Link kann das **Backup** - [[https:// | Unter nachfolgendem Link kann das **Backup** - [[https:// | ||
Zeile 331: | Zeile 328: | ||
</ | </ | ||
- | ==== DST Root CA X3 (Cross Signed) ==== | + | ==== Zertifikat: |
Unter nachfolgendem Link kann das **DST Root CA X3 (Cross Signed)** - [[https:// | Unter nachfolgendem Link kann das **DST Root CA X3 (Cross Signed)** - [[https:// | ||
Zeile 351: | Zeile 348: | ||
</ | </ | ||
- | FIXME | + | Anschließend soll die Datei vom Format '' |
+ | < | ||
+ | # openssl pkcs7 -in / | ||
+ | </ | ||
+ | < | ||
+ | # vim / | ||
+ | subject=/ | ||
+ | issuer=/ | ||
+ | -----BEGIN CERTIFICATE----- | ||
+ | MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ | ||
+ | MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT | ||
+ | DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow | ||
+ | PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD | ||
+ | Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB | ||
+ | AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/ | ||
+ | rz5Iy2Xu/ | ||
+ | OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b | ||
+ | xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/ | ||
+ | 7BZy1SbsOFU5Q9D8/ | ||
+ | aeQQmxkqtilX4+U9m5/ | ||
+ | HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/ | ||
+ | SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69 | ||
+ | ikugdB/ | ||
+ | AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz | ||
+ | R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/ | ||
+ | JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo | ||
+ | Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ | ||
+ | -----END CERTIFICATE----- | ||
+ | </ | ||
+ | |||
+ | Anschließend kann mit nachfolgendem Befehl überprüft werden, ob alle Dateien richtig erstellt wurden: | ||
< | < | ||
- | # vim | + | # ls -l / |
+ | / | ||
+ | total 44 | ||
+ | -rw------- 1 root root 1704 Aug 30 09:12 cert-1535613155.csr | ||
+ | -rw------- 1 root root 2508 Aug 30 09:12 cert-1535613155.pem | ||
+ | lrwxrwxrwx 1 root root 19 Aug 30 09:12 cert.csr -> cert-1535613155.csr | ||
+ | lrwxrwxrwx 1 root root 19 Aug 30 09:12 cert.pem -> cert-1535613155.pem | ||
+ | -rw------- 1 root root 1680 Aug 30 09:12 chain-1535613155.pem | ||
+ | lrwxrwxrwx 1 root root 20 Aug 30 09:12 chain.pem -> chain-1535613155.pem | ||
+ | -rw-r--r-- 1 root root 1314 Oct 12 07:07 DST_Root_CA_X3.pem | ||
+ | -rw------- 1 root root 4188 Aug 30 09:12 fullchain-1535613155.pem | ||
+ | lrwxrwxrwx 1 root root 24 Aug 30 09:12 fullchain.pem -> fullchain-1535613155.pem | ||
+ | -rw-r--r-- 1 root root 1647 Oct 12 06:45 Let_s_Encrypt_Authority_X3.pem | ||
+ | -rw-r--r-- 1 root root 1647 Jan 20 2018 Let_s_Encrypt_Authority_X4.pem | ||
+ | -rw------- 1 root root 3243 Aug 30 09:12 privkey-1535613155.pem | ||
+ | lrwxrwxrwx 1 root root 22 Aug 30 09:12 privkey.pem -> privkey-1535613155.pem | ||
+ | -rw------- 1 root root 2549 Aug 30 09:20 tachtler.net.pem | ||
+ | -rw-r--r-- 1 root root 893 Oct 12 07:01 trustidrootx3_chain.p7b | ||
</ | </ | ||
+ | |||
+ | ===== FINGERPRINT erstellen ===== | ||
+ | |||
+ | Die in vorhergehenden Bereich erstellten Zertifikate | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | sollen nun als **Grundlage zur Erstellung der FINGERPRINTs** verwendet werden. | ||
+ | |||
+ | Nachfolgende Befehle erstellen nun die **'' | ||
+ | |||
+ | ==== FINGERPRINT: | ||
+ | |||
+ | < | ||
+ | # openssl x509 -pubkey < / | ||
+ | reoYu6y4qPE3Blm9PMCjogm8J7/ | ||
+ | </ | ||
+ | |||
+ | ==== FINGERPRINT: | ||
+ | |||
+ | < | ||
+ | # openssl x509 -pubkey < / | ||
+ | YLh1dUR9y6Kja30RrAn7JKnbQG/ | ||
+ | </ | ||
+ | |||
+ | ==== FINGERPRINT: | ||
+ | |||
+ | < | ||
+ | # openssl x509 -pubkey < / | ||
+ | sRHdihwgkaib1P1gxX8HFszlD+7/ | ||
+ | </ | ||
+ | |||
+ | ==== FINGERPRINT: | ||
+ | |||
+ | < | ||
+ | # openssl x509 -pubkey < / | ||
+ | Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys= | ||
+ | </ | ||
+ | |||
+ | ===== Apache Konfiguration ===== | ||
+ | |||
+ | Nachfolgender eine kurze Einführung in den Aufbau eines **HPKP**-Eintrags: | ||
+ | |||
+ | ^ Parameter | ||
+ | | '' | ||
+ | | '' | ||
+ | | '' | ||
+ | | '' | ||
+ | | '' | ||
+ | |||
+ | ==== / | ||
+ | |||
+ | Nachfolgend kann durch die ermittelten **FINGERPRINTs** nun der **HPKP**-Eintrag für die Konfiguration wie folgt erstellt werden: | ||
+ | <code apache> | ||
+ | < | ||
+ | Header set Public-Key-Pins " | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Nachfolgende Seite welche unter dem externen Link | ||
+ | * [[https:// | ||
+ | kann dazu verwendet werden, um die erfolgreiche Implementierung von **HPKP** zu validieren. | ||
+ | |||
+ |
tachtler/let_s_encrypt_-_hpkp.txt · Zuletzt geändert: 2021/03/06 11:00 von klaus