Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Trustico/Digicert: Chaos um 23.000…

OpenSSL zu kompliziert

  1. Thema

Neues Thema Ansicht wechseln


  1. OpenSSL zu kompliziert

    Autor: elmo-space 01.03.18 - 13:29

    "CSRs werden üblicherweise mit OpenSSL erstellt, dessen Kommandozeileninterface ist aber alles andere als trivial zu bedienen."

    $ openssl req -new -nodes -out csr.pem -keyout privkey.pem -newkey rsa:4096

    Sorry aber wem eine! Zeile im Terminal zu kompliziert ist der sollte sich evtl. überlegen ob er nicht in nem anderen Job besser aufgehoben ist. So jemand sollte definitiv keine Server administrieren.

  2. Re: OpenSSL zu kompliziert

    Autor: hannob (golem.de) 01.03.18 - 13:35

    Die von Dir verwendete Kommandozeile erstellt kein gültiges CSR, da kein SAN eingetragen wird.

    Die korrekte Kommandozeile lautet etwa so:

    openssl req -nodes -new -newkey rsa:2048 -keyout my.key -out my.csr -config <(printf "[req] \ndistinguished_name = req_distinguished_name\nreq_extensions = ext \n[req_distinguished_name]\n[ext]\nsubjectAltName = DNS:http://example.org ,DNS:http://example.com ") -subj "/CN=example.com/"

    Ich bin der Meinung das kann man als kompliziert bezeichnen.

  3. Re: OpenSSL zu kompliziert

    Autor: soomon 01.03.18 - 13:39

    also sollte jemand, der sich mit openssl nicht auskennt, keine server administrieren?
    was ist das für eine sinnfreie logik.

  4. Re: OpenSSL zu kompliziert

    Autor: elmo-space 01.03.18 - 13:50

    Das von mir angegebene Kommando erzeugt sehr wohl ein gültiges CSR.
    Die abfrage der Daten für das CSR erfolgt dabei interaktiv. Und das ist alles andere als kompliziert:
    $ openssl req -new -nodes -out csr.pem -keyout privkey.pem -newkey rsa:4096
    Generating a 4096 bit RSA private key
    writing new private key to 'privkey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:
    State or Province Name (full name) [Some-State]:
    Locality Name (eg, city) []:
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:
    Organizational Unit Name (eg, section) []:
    Common Name (e.g. server FQDN or YOUR name) []:
    Email Address []:

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:

  5. Re: OpenSSL zu kompliziert

    Autor: dasa 01.03.18 - 13:51

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Die von Dir verwendete Kommandozeile erstellt kein gültiges CSR, da kein
    > SAN eingetragen wird.

    Zumindest bei StartSSL wurden damals die Angaben zum Subject und SAN, egal ob als Befehlsparameter oder interaktiv eingegeben, ignoriert. Wie es bei Trustico ist weiß ich nicht.

    Ich zitiere:
    "Wie bereits oben angedeutet, ignoriert StartSSL alle Angaben im CSR und trägt stattdessen eigene Informationen zur Organisation und Unit in das Zertfikat ein."
    (Quelle: https://www.heise.de/security/artikel/Die-Praxis-881280.html)



    2 mal bearbeitet, zuletzt am 01.03.18 13:54 durch dasa.

  6. Re: OpenSSL zu kompliziert

    Autor: Anonymer Nutzer 01.03.18 - 13:56

    und dafür hat noch keiner nen klickibunt-frontend gebastelt?

  7. Re: OpenSSL zu kompliziert

    Autor: RipClaw 01.03.18 - 13:57

    dasa schrieb:
    --------------------------------------------------------------------------------
    > hannob (golem.de) schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die von Dir verwendete Kommandozeile erstellt kein gültiges CSR, da kein
    > > SAN eingetragen wird.
    >
    > Zumindest bei StartSSL wurden damals die Angaben zum Subject und SAN, egal
    > ob als Befehlsparameter oder interaktiv eingegeben, ignoriert. Wie es bei
    > Trustico ist weiß ich nicht.
    >
    > Ich zitiere:
    > "Wie bereits oben angedeutet, ignoriert StartSSL alle Angaben im CSR und
    > trägt stattdessen eigene Informationen zur Organisation und Unit in das
    > Zertfikat ein."
    > (Quelle: www.heise.de

    Ist bei Comodo ähnlich. Hier werden alle Angaben bis auf den CN Eintrag verworfen.

  8. Re: OpenSSL zu kompliziert

    Autor: RipClaw 01.03.18 - 13:58

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > und dafür hat noch keiner nen klickibunt-frontend gebastelt?

    Doch z.B. XCA

    [hohnstaedt.de]

    Wenn man will kann man damit auch mehr machen als nur CSR Dateien erzeugen. Man kann auch seine eigene kleine PKI verwalten.



    2 mal bearbeitet, zuletzt am 01.03.18 14:00 durch RipClaw.

  9. Re: OpenSSL zu kompliziert

    Autor: RipClaw 01.03.18 - 14:04

    elmo-space schrieb:
    --------------------------------------------------------------------------------
    > "CSRs werden üblicherweise mit OpenSSL erstellt, dessen
    > Kommandozeileninterface ist aber alles andere als trivial zu bedienen."
    >
    > $ openssl req -new -nodes -out csr.pem -keyout privkey.pem -newkey
    > rsa:4096
    >
    > Sorry aber wem eine! Zeile im Terminal zu kompliziert ist der sollte sich
    > evtl. überlegen ob er nicht in nem anderen Job besser aufgehoben ist. So
    > jemand sollte definitiv keine Server administrieren.

    Ich kenne genug Feierabendprovider die von nichts eine Ahnung haben. Hindert die aber nicht daran Kunden zu haben und einen Server zu betreiben.

    Leider eine traurige Realität.

  10. Re: OpenSSL zu kompliziert

    Autor: Anonymer Nutzer 01.03.18 - 14:07

    die frage war eher rethorisch gestellt ...

  11. Re: OpenSSL zu kompliziert

    Autor: phade 01.03.18 - 14:18

    Bei Domain validierten (DV) Zertifikaten werden ganz normal alle Felder bis auf CN verworfen. Der CN ist ja dann das Einzige, was wirklich geprüft wird.

    Was die Registry sonst noch im CSR verlangt, ist "up-to-them", z.B. könnten die EA zur Pflicht machen, um den Kontakt mit dem Kunden zu halten und das eben nur intern verwenden.

    Bei extended validated (EV) Zertifikaten wird ja viel mehr geprüft, eben halt auch der Inhaber. Zumeist manuell über Adressverzeichnisse oder Branchenregister, einem Anruf usw. Da werden dann eben auch weitere Felder im CSR Pflicht.

    Und: wer sich als admin nicht einen alias oder ein script schreiben kann, um einen umfangreichen openssl-Aufruf zu vereinfachen (sowas wie "createcsr <hostname>"), DER sollte keine Server administrieren ;o)

  12. Re: OpenSSL zu kompliziert

    Autor: dasa 01.03.18 - 14:20

    elmo-space schrieb:
    --------------------------------------------------------------------------------
    > Das von mir angegebene Kommando erzeugt sehr wohl ein gültiges CSR.
    > Die abfrage der Daten für das CSR erfolgt dabei interaktiv. Und das ist
    > alles andere als kompliziert:

    So wie du vorgehst kann nur die "Common Name" festgelegt werden, aber nicht die SAN. Diese ersetzt immer mehr die CN und ist z.B. bei Chrome Pflicht (Quelle: https://www.heise.de/security/artikel/Chrome-blockt-Zertifikate-mit-Common-Name-3717594.html). Ich vermute hannob hat dies gemeint.

  13. Re: OpenSSL zu kompliziert

    Autor: elmo-space 01.03.18 - 14:40

    dasa schrieb:
    --------------------------------------------------------------------------------
    > So wie du vorgehst kann nur die "Common Name" festgelegt werden, aber nicht
    > die SAN. Diese ersetzt immer mehr die CN und ist z.B. bei Chrome Pflicht
    > (Quelle: www.heise.de Ich vermute hannob hat dies gemeint.

    Die Subject Alternative Names werden von vielen CAs mittlerweile automatisch auf den CN und www.(CN) gesetzt.

  14. Re: OpenSSL zu kompliziert

    Autor: Oktavian 01.03.18 - 14:55

    Und nach der Diskussion hier im Thread sollte allmählich klar sein, dass OpenSSL für den Hobby-Admin alles andere als trivial ist.

    > Sorry aber wem eine! Zeile im Terminal zu kompliziert ist der sollte sich
    > evtl. überlegen ob er nicht in nem anderen Job besser aufgehoben ist. So
    > jemand sollte definitiv keine Server administrieren.

    Tut er meist auch nicht, er administriert eine Webseite. Die lässt er beim Provider seines geringsten Misstrauens hosten und kann an einer definierten Stelle sein Zertifikat hinterlegen. Manche Provider besorgen auch dies für ihn (gegen Einwurf kleiner Scheine), andere lassen auch mitgebrachte Zertifikate zu.



    1 mal bearbeitet, zuletzt am 01.03.18 14:57 durch Oktavian.

  15. Re: OpenSSL zu kompliziert

    Autor: dasa 01.03.18 - 14:57

    elmo-space schrieb:
    --------------------------------------------------------------------------------
    > dasa schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > So wie du vorgehst kann nur die "Common Name" festgelegt werden, aber
    > nicht
    > > die SAN. Diese ersetzt immer mehr die CN und ist z.B. bei Chrome Pflicht
    > > (Quelle: www.heise.de Ich vermute hannob hat dies gemeint.
    >
    > Die Subject Alternative Names werden von vielen CAs mittlerweile
    > automatisch auf den CN und www.(CN) gesetzt.

    Ich vermute dein Befehl ist zur Verwendung bei allen CAs gedacht. Mit dem von hannob genannten Befehl zur CSR Erzeugung ist man halt auf der sicheren Seite, egal ob die Umwandlung CN->SAN von der CA durchgeführt wird oder nicht.



    2 mal bearbeitet, zuletzt am 01.03.18 15:07 durch dasa.

  16. Re: OpenSSL zu kompliziert

    Autor: Anonymer Nutzer 01.03.18 - 15:14

    solange der datenschutzbeautragte von den unternehmen bestellt wird, wird sich daran auch nichts ändern, allein diese abhängigkeit der position und person macht jede einmischung um wirkliche sicherheit und realen schutz zu schaffen für alle beteiligten zu einer lachnummer.

  17. Re: OpenSSL zu kompliziert

    Autor: chefin 01.03.18 - 15:44

    Ist genauso blödes Argument wie zu verlangen das man eine Kupplung wechsel kann, bevor man Berufskraftfahrer wird. Und glaub mir, Kupplung wechseln ist eines der eher einfachen Dinge am Auto. Beim Golf kommt man mit 4-5 verschiedenen Werkzeugen aus dabei.

    Nein, ich muss das natürlich nicht können, genauso wenig wie Bremsen wechseln. Und das ist wirklich sicherheitswichtiges Teil, das man in der Werkstatt wechseln lässt. Man vertraut der Werkstatt, weil die es können. Obwohl...vieleicht ist die hübsche Blonde die ich gestern hatte, die Freundin des Mechanikers und er hats rausgefunden...wer weis schon.

    Tja...im letzten Jahrtausend hätte ich dir noch zugestimmt, was solche Kommandozeilentools angeht. Aber heute ist das nicht mehr Zeitgemäss.

  18. Re: OpenSSL zu kompliziert

    Autor: the_second 01.03.18 - 15:54

    soomon schrieb:
    --------------------------------------------------------------------------------
    > also sollte jemand, der sich mit openssl nicht auskennt, keine server
    > administrieren?

    Ja. Wenn der Automechaniker sich mit der Flex dauernd in den Schuh schneidet, dann kann man zwar vermuten, dass er im Notfall auch ohne Flex auskäme und ansonsten ein exzellenter Mechaniker ist, aber ich sag mal, wahrscheinlich ist das nicht.

  19. Re: OpenSSL zu kompliziert

    Autor: elmo-space 01.03.18 - 15:56

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Ist genauso blödes Argument wie zu verlangen das man eine Kupplung wechsel
    > kann, bevor man Berufskraftfahrer wird. Und glaub mir, Kupplung wechseln
    > ist eines der eher einfachen Dinge am Auto. Beim Golf kommt man mit 4-5
    > verschiedenen Werkzeugen aus dabei.

    Der vergleich hinkt massiv. Denn der Serveradmin ist in diesem Fall nicht der Autofahrer sondern der Mechaniker. Und ich vertraue mein Auto schließlich keinem Mechaniker an der keine Ahnung von seinem Beruf hat.

  20. Re: OpenSSL zu kompliziert

    Autor: RipClaw 01.03.18 - 16:12

    Oktavian schrieb:
    --------------------------------------------------------------------------------
    > Und nach der Diskussion hier im Thread sollte allmählich klar sein, dass
    > OpenSSL für den Hobby-Admin alles andere als trivial ist.
    >
    > > Sorry aber wem eine! Zeile im Terminal zu kompliziert ist der sollte
    > sich
    > > evtl. überlegen ob er nicht in nem anderen Job besser aufgehoben ist. So
    > > jemand sollte definitiv keine Server administrieren.
    >
    > Tut er meist auch nicht, er administriert eine Webseite. Die lässt er beim
    > Provider seines geringsten Misstrauens hosten und kann an einer definierten
    > Stelle sein Zertifikat hinterlegen. Manche Provider besorgen auch dies für
    > ihn (gegen Einwurf kleiner Scheine), andere lassen auch mitgebrachte
    > Zertifikate zu.

    So sollte es sein aber viele nehmen sich Rootserver weil die günstiger sind als Managed Server. Da müssen die dann selber Hand anlegen aber können es eben nicht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. HYDRO Systems KG, Biberach
  2. AWO Kreisverband Mittelfranken-Süd e.V., Schwabach
  3. Taunus Sparkasse, Bad Homburg vor der Höhe
  4. UmweltBank AG, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. D24f FHD/144 Hz für 149€ + Versand statt 193,94€ im Vergleich)
  2. (u. a. Acer KG241QP FHD/144 Hz für 169€ und Samsung GQ55Q70 QLED-TV für 999€)
  3. (u. a. mit Gaming-Monitoren, z. B. Acer ED323QURA Curved/WQHD/144 Hz für 299€ statt 379€ im...
  4. (u. a. Apple iPhone 6s Plus 32 GB für 299€ und 128 GB für 449€ - Bestpreise!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

  1. Urheberrecht: Youtuber sollen bei Snippets kein Geld mehr verlieren
    Urheberrecht
    Youtuber sollen bei Snippets kein Geld mehr verlieren

    Bisher konnten Urheber die Einnahmen von Youtubern komplett an sich ziehen, auch wenn diese nur ganz kurze Teile der eigenen Werke übernahmen. Das soll künftig auf Youtube nicht mehr möglich sein.

  2. Einrichtungskonzern: Ikea startet eigenen Geschäftsbereich für Smart Home
    Einrichtungskonzern
    Ikea startet eigenen Geschäftsbereich für Smart Home

    Der Einrichtungskonzern Ikea will mit einem eigenen Geschäftsbereich seine Smart-Home-Produkte voranbringen. Das Unternehmen will damit mehr bieten als nur gewöhnliche Möbel.

  3. Zoncolan: Facebook testet 100 Millionen Zeilen Code in 30 Minuten
    Zoncolan
    Facebook testet 100 Millionen Zeilen Code in 30 Minuten

    Das Entwicklerteam von Facebook hat ein eigenes Werkzeug zur statischen Code-Analyse erstellt und stellt nun erstmals Details dazu vor. Das Projekt habe Tausende Sicherheitslücken verhindert.


  1. 14:34

  2. 13:28

  3. 12:27

  4. 11:33

  5. 09:01

  6. 14:28

  7. 13:20

  8. 12:29