Linux Script - Selbstsigniertes SSL Zertifikat mit SHA256 erstellen und ausgeben
Posted by Guenny onAnfang des Jahres hatte ich euch ein Skript bereitgestellt, welches selbst signierte Zertifikate generiert (siehe Artikel).
Nicht erst seit gestern ist es jedoch sinnvoll auf SHA2 umzustellen. Denn das alte SHA1 gilt seit einiger Zeit als unsicher.
Übersicht SHA Funktionen
Für euch heißt dies in Zukunft bei der Zertifikatsgenerierung auf SHA2 zu achten.
Selbstsigniertes SSL Zertifikat mit SHA256 erstellen
Im Prinzip muss der alte Befehl nur um einen weiteren Schlüssel "SHA256" oder "SHA512" ergänzt werden.
Unten seht ihr den Befehl, der eine privaten Serverschlüssel mit Zertifikatsanfrage erstellt und im gleichen Zug selbst signiert.
sudo openssl req -x509 -nodes -sha256 -days 1825 -newkey rsa:4096 -keyout server_256.key -out server_256.crt
Generating a 4096 bit RSA private key
...........................++
......................................................................++
writing new private key to 'server_256.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:NRW
Locality Name (eg, city) []:ITrig
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ITrig
Organizational Unit Name (eg, section) []:Itrig
Common Name (eg, YOUR name) []:itrig.de
Email Address []:
Zertifikat auf SHA2 überprüfen
Natürlich lassen sich vorhandene oder soeben erzeugte Schlüssel auch auf ihren Inhalt überprüfen. In diesem Fall interessiert uns der SHA Wert.
sudo openssl x509 -noout -text -in server_256.crt
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
fc:f8:7d:d9:cd:f7:e7:b5
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=DE, ST=NRW, L=ITrig, O=ITrig, OU=Itrig, CN=itrig.de
Validity
Not Before: Dec 18 13:20:41 2014 GMT
border: none; padding: 0px;">Not After : Dec 17 13:20:41 2019 GMT
Damit ihr euch die Eingaben alle sparen könnt, hab ich das Script auf SHA256 angepasst, zusätzlich werden alle Daten am Ende zur Kontrolle ausgegeben.
Trackbacks
Trackback specific URI for this entryThis link is not meant to be clicked. It contains the trackback URI for this entry. You can use this URI to send ping- & trackbacks from your own blog to this entry. To copy the link, right click and select "Copy Shortcut" in Internet Explorer or "Copy Link Location" in Mozilla.
No Trackbacks
Comments
Display comments as Linear | ThreadedNo comments