1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Trustico/Digicert: Chaos um 23.000…

OpenSSL zu kompliziert

  1. Thema

Neues Thema Ansicht wechseln


  1. OpenSSL zu kompliziert

    Autor: elmo-space 01.03.18 - 13:29

    "CSRs werden üblicherweise mit OpenSSL erstellt, dessen Kommandozeileninterface ist aber alles andere als trivial zu bedienen."

    $ openssl req -new -nodes -out csr.pem -keyout privkey.pem -newkey rsa:4096

    Sorry aber wem eine! Zeile im Terminal zu kompliziert ist der sollte sich evtl. überlegen ob er nicht in nem anderen Job besser aufgehoben ist. So jemand sollte definitiv keine Server administrieren.

  2. Re: OpenSSL zu kompliziert

    Autor: hab (Golem.de) 01.03.18 - 13:35

    Die von Dir verwendete Kommandozeile erstellt kein gültiges CSR, da kein SAN eingetragen wird.

    Die korrekte Kommandozeile lautet etwa so:

    openssl req -nodes -new -newkey rsa:2048 -keyout my.key -out my.csr -config <(printf "[req] \ndistinguished_name = req_distinguished_name\nreq_extensions = ext \n[req_distinguished_name]\n[ext]\nsubjectAltName = DNS:http://example.org ,DNS:http://example.com ") -subj "/CN=example.com/"

    Ich bin der Meinung das kann man als kompliziert bezeichnen.

  3. Re: OpenSSL zu kompliziert

    Autor: soomon 01.03.18 - 13:39

    also sollte jemand, der sich mit openssl nicht auskennt, keine server administrieren?
    was ist das für eine sinnfreie logik.

  4. Re: OpenSSL zu kompliziert

    Autor: elmo-space 01.03.18 - 13:50

    Das von mir angegebene Kommando erzeugt sehr wohl ein gültiges CSR.
    Die abfrage der Daten für das CSR erfolgt dabei interaktiv. Und das ist alles andere als kompliziert:
    $ openssl req -new -nodes -out csr.pem -keyout privkey.pem -newkey rsa:4096
    Generating a 4096 bit RSA private key
    writing new private key to 'privkey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:
    State or Province Name (full name) [Some-State]:
    Locality Name (eg, city) []:
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:
    Organizational Unit Name (eg, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:
    Email Address []:

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:

  5. Re: OpenSSL zu kompliziert

    Autor: dasa 01.03.18 - 13:51

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Die von Dir verwendete Kommandozeile erstellt kein gültiges CSR, da kein
    > SAN eingetragen wird.

    Zumindest bei StartSSL wurden damals die Angaben zum Subject und SAN, egal ob als Befehlsparameter oder interaktiv eingegeben, ignoriert. Wie es bei Trustico ist weiß ich nicht.

    Ich zitiere:
    "Wie bereits oben angedeutet, ignoriert StartSSL alle Angaben im CSR und trägt stattdessen eigene Informationen zur Organisation und Unit in das Zertfikat ein."
    (Quelle: https://www.heise.de/security/artikel/Die-Praxis-881280.html)



    2 mal bearbeitet, zuletzt am 01.03.18 13:54 durch dasa.

  6. Re: OpenSSL zu kompliziert

    Autor: Anonymer Nutzer 01.03.18 - 13:56

    und dafür hat noch keiner nen klickibunt-frontend gebastelt?

  7. Re: OpenSSL zu kompliziert

    Autor: RipClaw 01.03.18 - 13:57

    dasa schrieb:
    --------------------------------------------------------------------------------
    > hannob (golem.de) schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die von Dir verwendete Kommandozeile erstellt kein gültiges CSR, da kein
    > > SAN eingetragen wird.
    >
    > Zumindest bei StartSSL wurden damals die Angaben zum Subject und SAN, egal
    > ob als Befehlsparameter oder interaktiv eingegeben, ignoriert. Wie es bei
    > Trustico ist weiß ich nicht.
    >
    > Ich zitiere:
    > "Wie bereits oben angedeutet, ignoriert StartSSL alle Angaben im CSR und
    > trägt stattdessen eigene Informationen zur Organisation und Unit in das
    > Zertfikat ein."
    > (Quelle: www.heise.de

    Ist bei Comodo ähnlich. Hier werden alle Angaben bis auf den CN Eintrag verworfen.

  8. Re: OpenSSL zu kompliziert

    Autor: RipClaw 01.03.18 - 13:58

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > und dafür hat noch keiner nen klickibunt-frontend gebastelt?

    Doch z.B. XCA

    [hohnstaedt.de]

    Wenn man will kann man damit auch mehr machen als nur CSR Dateien erzeugen. Man kann auch seine eigene kleine PKI verwalten.



    2 mal bearbeitet, zuletzt am 01.03.18 14:00 durch RipClaw.

  9. Re: OpenSSL zu kompliziert

    Autor: RipClaw 01.03.18 - 14:04

    elmo-space schrieb:
    --------------------------------------------------------------------------------
    > "CSRs werden üblicherweise mit OpenSSL erstellt, dessen
    > Kommandozeileninterface ist aber alles andere als trivial zu bedienen."
    >
    > $ openssl req -new -nodes -out csr.pem -keyout privkey.pem -newkey
    > rsa:4096
    >
    > Sorry aber wem eine! Zeile im Terminal zu kompliziert ist der sollte sich
    > evtl. überlegen ob er nicht in nem anderen Job besser aufgehoben ist. So
    > jemand sollte definitiv keine Server administrieren.

    Ich kenne genug Feierabendprovider die von nichts eine Ahnung haben. Hindert die aber nicht daran Kunden zu haben und einen Server zu betreiben.

    Leider eine traurige Realität.

  10. Re: OpenSSL zu kompliziert

    Autor: Anonymer Nutzer 01.03.18 - 14:07

    die frage war eher rethorisch gestellt ...

  11. Re: OpenSSL zu kompliziert

    Autor: phade 01.03.18 - 14:18

    Bei Domain validierten (DV) Zertifikaten werden ganz normal alle Felder bis auf CN verworfen. Der CN ist ja dann das Einzige, was wirklich geprüft wird.

    Was die Registry sonst noch im CSR verlangt, ist "up-to-them", z.B. könnten die EA zur Pflicht machen, um den Kontakt mit dem Kunden zu halten und das eben nur intern verwenden.

    Bei extended validated (EV) Zertifikaten wird ja viel mehr geprüft, eben halt auch der Inhaber. Zumeist manuell über Adressverzeichnisse oder Branchenregister, einem Anruf usw. Da werden dann eben auch weitere Felder im CSR Pflicht.

    Und: wer sich als admin nicht einen alias oder ein script schreiben kann, um einen umfangreichen openssl-Aufruf zu vereinfachen (sowas wie "createcsr <hostname>"), DER sollte keine Server administrieren ;o)

  12. Re: OpenSSL zu kompliziert

    Autor: dasa 01.03.18 - 14:20

    elmo-space schrieb:
    --------------------------------------------------------------------------------
    > Das von mir angegebene Kommando erzeugt sehr wohl ein gültiges CSR.
    > Die abfrage der Daten für das CSR erfolgt dabei interaktiv. Und das ist
    > alles andere als kompliziert:

    So wie du vorgehst kann nur die "Common Name" festgelegt werden, aber nicht die SAN. Diese ersetzt immer mehr die CN und ist z.B. bei Chrome Pflicht (Quelle: https://www.heise.de/security/artikel/Chrome-blockt-Zertifikate-mit-Common-Name-3717594.html). Ich vermute hannob hat dies gemeint.

  13. Re: OpenSSL zu kompliziert

    Autor: elmo-space 01.03.18 - 14:40

    dasa schrieb:
    --------------------------------------------------------------------------------
    > So wie du vorgehst kann nur die "Common Name" festgelegt werden, aber nicht
    > die SAN. Diese ersetzt immer mehr die CN und ist z.B. bei Chrome Pflicht
    > (Quelle: www.heise.de Ich vermute hannob hat dies gemeint.

    Die Subject Alternative Names werden von vielen CAs mittlerweile automatisch auf den CN und www.(CN) gesetzt.

  14. Re: OpenSSL zu kompliziert

    Autor: Oktavian 01.03.18 - 14:55

    Und nach der Diskussion hier im Thread sollte allmählich klar sein, dass OpenSSL für den Hobby-Admin alles andere als trivial ist.

    > Sorry aber wem eine! Zeile im Terminal zu kompliziert ist der sollte sich
    > evtl. überlegen ob er nicht in nem anderen Job besser aufgehoben ist. So
    > jemand sollte definitiv keine Server administrieren.

    Tut er meist auch nicht, er administriert eine Webseite. Die lässt er beim Provider seines geringsten Misstrauens hosten und kann an einer definierten Stelle sein Zertifikat hinterlegen. Manche Provider besorgen auch dies für ihn (gegen Einwurf kleiner Scheine), andere lassen auch mitgebrachte Zertifikate zu.



    1 mal bearbeitet, zuletzt am 01.03.18 14:57 durch Oktavian.

  15. Re: OpenSSL zu kompliziert

    Autor: dasa 01.03.18 - 14:57

    elmo-space schrieb:
    --------------------------------------------------------------------------------
    > dasa schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > So wie du vorgehst kann nur die "Common Name" festgelegt werden, aber
    > nicht
    > > die SAN. Diese ersetzt immer mehr die CN und ist z.B. bei Chrome Pflicht
    > > (Quelle: www.heise.de Ich vermute hannob hat dies gemeint.
    >
    > Die Subject Alternative Names werden von vielen CAs mittlerweile
    > automatisch auf den CN und www.(CN) gesetzt.

    Ich vermute dein Befehl ist zur Verwendung bei allen CAs gedacht. Mit dem von hannob genannten Befehl zur CSR Erzeugung ist man halt auf der sicheren Seite, egal ob die Umwandlung CN->SAN von der CA durchgeführt wird oder nicht.



    2 mal bearbeitet, zuletzt am 01.03.18 15:07 durch dasa.

  16. Re: OpenSSL zu kompliziert

    Autor: Anonymer Nutzer 01.03.18 - 15:14

    solange der datenschutzbeautragte von den unternehmen bestellt wird, wird sich daran auch nichts ändern, allein diese abhängigkeit der position und person macht jede einmischung um wirkliche sicherheit und realen schutz zu schaffen für alle beteiligten zu einer lachnummer.

  17. Re: OpenSSL zu kompliziert

    Autor: chefin 01.03.18 - 15:44

    Ist genauso blödes Argument wie zu verlangen das man eine Kupplung wechsel kann, bevor man Berufskraftfahrer wird. Und glaub mir, Kupplung wechseln ist eines der eher einfachen Dinge am Auto. Beim Golf kommt man mit 4-5 verschiedenen Werkzeugen aus dabei.

    Nein, ich muss das natürlich nicht können, genauso wenig wie Bremsen wechseln. Und das ist wirklich sicherheitswichtiges Teil, das man in der Werkstatt wechseln lässt. Man vertraut der Werkstatt, weil die es können. Obwohl...vieleicht ist die hübsche Blonde die ich gestern hatte, die Freundin des Mechanikers und er hats rausgefunden...wer weis schon.

    Tja...im letzten Jahrtausend hätte ich dir noch zugestimmt, was solche Kommandozeilentools angeht. Aber heute ist das nicht mehr Zeitgemäss.

  18. Re: OpenSSL zu kompliziert

    Autor: the_second 01.03.18 - 15:54

    soomon schrieb:
    --------------------------------------------------------------------------------
    > also sollte jemand, der sich mit openssl nicht auskennt, keine server
    > administrieren?

    Ja. Wenn der Automechaniker sich mit der Flex dauernd in den Schuh schneidet, dann kann man zwar vermuten, dass er im Notfall auch ohne Flex auskäme und ansonsten ein exzellenter Mechaniker ist, aber ich sag mal, wahrscheinlich ist das nicht.

  19. Re: OpenSSL zu kompliziert

    Autor: elmo-space 01.03.18 - 15:56

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Ist genauso blödes Argument wie zu verlangen das man eine Kupplung wechsel
    > kann, bevor man Berufskraftfahrer wird. Und glaub mir, Kupplung wechseln
    > ist eines der eher einfachen Dinge am Auto. Beim Golf kommt man mit 4-5
    > verschiedenen Werkzeugen aus dabei.

    Der vergleich hinkt massiv. Denn der Serveradmin ist in diesem Fall nicht der Autofahrer sondern der Mechaniker. Und ich vertraue mein Auto schließlich keinem Mechaniker an der keine Ahnung von seinem Beruf hat.

  20. Re: OpenSSL zu kompliziert

    Autor: RipClaw 01.03.18 - 16:12

    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > Und nach der Diskussion hier im Thread sollte allmählich klar sein, dass
    > OpenSSL für den Hobby-Admin alles andere als trivial ist.
    >
    > > Sorry aber wem eine! Zeile im Terminal zu kompliziert ist der sollte
    > sich
    > > evtl. überlegen ob er nicht in nem anderen Job besser aufgehoben ist. So
    > > jemand sollte definitiv keine Server administrieren.
    >
    > Tut er meist auch nicht, er administriert eine Webseite. Die lässt er beim
    > Provider seines geringsten Misstrauens hosten und kann an einer definierten
    > Stelle sein Zertifikat hinterlegen. Manche Provider besorgen auch dies für
    > ihn (gegen Einwurf kleiner Scheine), andere lassen auch mitgebrachte
    > Zertifikate zu.

    So sollte es sein aber viele nehmen sich Rootserver weil die günstiger sind als Managed Server. Da müssen die dann selber Hand anlegen aber können es eben nicht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Papierfabrik Palm GmbH & Co KG, Aalen
  2. Universitätsklinikum Münster, Münster
  3. Bayerische Versorgungskammer, München
  4. Hannover Rück SE, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-53%) 27,99€
  2. (-85%) 12,50€
  3. 4,99€
  4. (-73%) 15,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Hyundai Nexo: Wasserdampf im Rückspiegel
    Hyundai Nexo
    Wasserdampf im Rückspiegel

    Der Hyundai Nexo ist eines der wenigen Serienautos mit Brennstoffzelle - und er fährt sich toll. Dennoch haben Pkw, die mit Wasserstoff fahren, hierzulande keine Zukunft.

  2. Cyberkriminalität: Langeweile statt Untergrund-Romantik
    Cyberkriminalität
    Langeweile statt Untergrund-Romantik

    Forscher haben sich das Geschäft mit der Cyberkriminalität angeschaut. Anstelle aufregender Hacker-Abenteuer fanden sie eher langweilige Bürojobs.

  3. Apple: Broadcom deutet Verzögerung des neuen iPhones an
    Apple
    Broadcom deutet Verzögerung des neuen iPhones an

    Der CEO des Chipherstellers Broadcom hat unmissverständliche Hinweise darauf gegeben, dass Apples kommendes iPhone wohl erst im vierten Quartal erscheint.


  1. 12:01

  2. 11:32

  3. 11:16

  4. 11:01

  5. 10:30

  6. 10:16

  7. 10:01

  8. 09:46