tachtler:let_s_encrypt_-_hpkp
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
tachtler:let_s_encrypt_-_hpkp [2018/10/12 07:08] – [DST Root CA X3 (Cross Signed)] klaus | tachtler:let_s_encrypt_-_hpkp [2018/10/12 14:22] – [Let's Encrypt - HPKP] klaus | ||
---|---|---|---|
Zeile 11: | Zeile 11: | ||
| Scott Helme | [[https:// | | Scott Helme | [[https:// | ||
| Let's Encrypt | [[https:// | | Let's Encrypt | [[https:// | ||
- | | Report URI | [[https:// | + | | Report URI | [[https:// |
- | | re{raise}ace | + | | Report URI |
+ | | Mozilla | ||
===== Vorbereitung ===== | ===== Vorbereitung ===== | ||
Zeile 48: | Zeile 49: | ||
:!: **HINWEIS** - **Nachfolgend wird die Datei '' | :!: **HINWEIS** - **Nachfolgend wird die Datei '' | ||
- | ===== FINGERPRINT erstellen | + | ===== Zertifikate speichern |
Um bequem **FINGERPRINTs** aus der **in Benutzung befindlichen Zertifikatskette** erstellen zu können, ist es erforderlich, | Um bequem **FINGERPRINTs** aus der **in Benutzung befindlichen Zertifikatskette** erstellen zu können, ist es erforderlich, | ||
* '' | * '' | ||
zu extrahieren. | zu extrahieren. | ||
- | |||
- | ==== Zertifikate extrahieren ==== | ||
< | < | ||
Zeile 196: | Zeile 195: | ||
Anschließend können nun durch "**Cut & Paste**" | Anschließend können nun durch "**Cut & Paste**" | ||
- | ==== tachtler.net ==== | + | ==== Zertifikat: |
< | < | ||
# vim / | # vim / | ||
Zeile 242: | Zeile 241: | ||
</ | </ | ||
- | ==== Let's Encrypt Authority X3 (Aktive) ==== | + | ==== Zertitfikat: |
< | < | ||
# vim / | # vim / | ||
Zeile 274: | Zeile 273: | ||
</ | </ | ||
- | ==== Let's Encrypt Authority X4 (Backup) ==== | + | ==== Zertifikat: |
Unter nachfolgendem Link kann das **Backup** - [[https:// | Unter nachfolgendem Link kann das **Backup** - [[https:// | ||
Zeile 331: | Zeile 330: | ||
</ | </ | ||
- | ==== DST Root CA X3 (Cross Signed) ==== | + | ==== Zertifikat: |
Unter nachfolgendem Link kann das **DST Root CA X3 (Cross Signed)** - [[https:// | Unter nachfolgendem Link kann das **DST Root CA X3 (Cross Signed)** - [[https:// | ||
Zeile 382: | Zeile 381: | ||
</ | </ | ||
+ | |||
+ | Anschließend kann mit nachfolgendem Befehl überprüft werden, ob alle Dateien richtig erstellt wurden: | ||
+ | < | ||
+ | # ls -l / | ||
+ | / | ||
+ | total 44 | ||
+ | -rw------- 1 root root 1704 Aug 30 09:12 cert-1535613155.csr | ||
+ | -rw------- 1 root root 2508 Aug 30 09:12 cert-1535613155.pem | ||
+ | lrwxrwxrwx 1 root root 19 Aug 30 09:12 cert.csr -> cert-1535613155.csr | ||
+ | lrwxrwxrwx 1 root root 19 Aug 30 09:12 cert.pem -> cert-1535613155.pem | ||
+ | -rw------- 1 root root 1680 Aug 30 09:12 chain-1535613155.pem | ||
+ | lrwxrwxrwx 1 root root 20 Aug 30 09:12 chain.pem -> chain-1535613155.pem | ||
+ | -rw-r--r-- 1 root root 1314 Oct 12 07:07 DST_Root_CA_X3.pem | ||
+ | -rw------- 1 root root 4188 Aug 30 09:12 fullchain-1535613155.pem | ||
+ | lrwxrwxrwx 1 root root 24 Aug 30 09:12 fullchain.pem -> fullchain-1535613155.pem | ||
+ | -rw-r--r-- 1 root root 1647 Oct 12 06:45 Let_s_Encrypt_Authority_X3.pem | ||
+ | -rw-r--r-- 1 root root 1647 Jan 20 2018 Let_s_Encrypt_Authority_X4.pem | ||
+ | -rw------- 1 root root 3243 Aug 30 09:12 privkey-1535613155.pem | ||
+ | lrwxrwxrwx 1 root root 22 Aug 30 09:12 privkey.pem -> privkey-1535613155.pem | ||
+ | -rw------- 1 root root 2549 Aug 30 09:20 tachtler.net.pem | ||
+ | -rw-r--r-- 1 root root 893 Oct 12 07:01 trustidrootx3_chain.p7b | ||
+ | </ | ||
+ | |||
+ | ===== FINGERPRINT erstellen ===== | ||
+ | |||
+ | Die in vorhergehenden Bereich erstellten Zertifikate | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | * '' | ||
+ | sollen nun als **Grundlage zur Erstellung der FINGERPRINTs** verwendet werden. | ||
+ | |||
+ | Nachfolgende Befehle erstellen nun die **'' | ||
+ | |||
+ | ==== FINGERPRINT: | ||
+ | |||
+ | < | ||
+ | # openssl x509 -pubkey < / | ||
+ | reoYu6y4qPE3Blm9PMCjogm8J7/ | ||
+ | </ | ||
+ | |||
+ | ==== FINGERPRINT: | ||
+ | |||
+ | < | ||
+ | # openssl x509 -pubkey < / | ||
+ | YLh1dUR9y6Kja30RrAn7JKnbQG/ | ||
+ | </ | ||
+ | |||
+ | ==== FINGERPRINT: | ||
+ | |||
+ | < | ||
+ | # openssl x509 -pubkey < / | ||
+ | sRHdihwgkaib1P1gxX8HFszlD+7/ | ||
+ | </ | ||
+ | |||
+ | ==== FINGERPRINT: | ||
+ | |||
+ | < | ||
+ | # openssl x509 -pubkey < / | ||
+ | Vjs8r4z+80wjNcr1YKepWQboSIRi63WsWXhIMN+eWys= | ||
+ | </ | ||
+ | |||
+ | ===== Apache Konfiguration ===== | ||
+ | |||
+ | Nachfolgender eine kurze Einführung in den Aufbau eines **HPKP**-Eintrags: | ||
+ | |||
+ | ^ Parameter | ||
+ | | '' | ||
+ | | '' | ||
+ | | '' | ||
+ | | '' | ||
+ | | '' | ||
+ | |||
+ | ==== / | ||
+ | |||
+ | Nachfolgend kann durch die ermittelten **FINGERPRINTs** nun der **HPKP**-Eintrag für die Konfiguration wie folgt erstellt werden: | ||
+ | <code apache> | ||
+ | < | ||
+ | Header set Public-Key-Pins " | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Nachfolgende Seite welche unter dem externen Link | ||
+ | * [[https:// | ||
+ | kann dazu verwendet werden, um die erfolgreiche Implementierung von **HPKP** zu validieren. | ||
+ | |||
tachtler/let_s_encrypt_-_hpkp.txt · Zuletzt geändert: 2021/03/06 11:00 von klaus