Privates Blog von Karsten Gresch » security http://blog.gresch.de Varia, Miscellania Wed, 06 Jul 2011 18:23:07 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 Logitech-SW… :-( http://blog.gresch.de/2007/02/14/logitech-sw/ http://blog.gresch.de/2007/02/14/logitech-sw/#comments Wed, 14 Feb 2007 20:48:00 +0000 KG http://web636.webbox122.server-home.org/wpkg/?p=144 Hm, da frag ich mich, wozu Terminaldienste aktiviert sein müssen, damit man die Treiber und Software für eine Webcam verwenden kann: Webcam-Formusthread. Da wundere sich niemand über Sicherheitsprobleme…

]]> http://blog.gresch.de/2007/02/14/logitech-sw/feed/ 2 Create certificates with OpenSSH http://blog.gresch.de/2006/11/22/create-certificates-with-openssh/ http://blog.gresch.de/2006/11/22/create-certificates-with-openssh/#comments Wed, 22 Nov 2006 16:11:11 +0000 KG http://web636.webbox122.server-home.org/wpkg/?p=66 Die Anleitung von Dr. Lotz wurde leider nicht überarbeitet, deshalb hier eine Schritt-für-Schritt-Anleitung…

1. Als root einloggen.

2. openssl.conf anpassen, falls noch nicht geschehen (siehe openssl.cnf"myWonderfulHostname" mit entsprechendem Servernamen ersetzen…). Am wichtigsten ist das commonName-Attribut!

3. Verzeichnis anlegen

 

cd ~ && mkdir myWonderfulHostnameCA && cd myWonderfulHostnameCA

 

4. Unterverzeichnisse anlegen

 

mkdir certs newcerts crl private && touch index.txt && echo "01" > serial

 

5. Jetzt wird die CA erzeugt. Zur Sicherheit commonName manuell eingeben. Passphrase gut sichern!!!

 

openssl req -new -x509 -keyout private/myWonderfulHostnameCA_prv_key.pem -out myWonderfulHostnameCA_cert.pem -days 3650

 

6. Schlüsselpaar für den Server erzeugen.

 

openssl req -new -keyout certs/myWonderfulHostname_prv_key.pem -out certs/myWonderfulHostname_req.pem -days 3650

 

7. Unverschlüsselten Key erzeugen. – Wenn dieser benutzt wird, sollte man sich um die Rechte so kümmern, dass nur die Prozesse darauf zugreifen können, die ihn benötigen! Das ginge ggf. mit ACLs.

 

openssl rsa < certs/myWonderfulHostname_prv_key.pem > myWonderfulHostname_prv_key-unverschluesselt.pem

 

8.

9. Öffentlichen Schlüssel mit privatem der CA unterschreiben:

 

openssl ca -policy policy_anything -notext -out certs/myWonderfulHostname_cert.pem -infiles certs/myWonderfulHostname_req.pem

 

10. Jetzt gehts daran, Apache unsere Files bekannt zu machen. Erst einmal /etc/httpd/conf/ssl. sichern! Apache benötigt:

  • • SSLCertificateFile (default: server.crt) => Das entspricht dem von uns generierten /root/myWonderfulHostnameCA/certs/myWonderfulHostname_cert.pem.
  • • SSLCertificateKeyFile (default: server.key) => Wenn wir die unverschlüsselte Version verwenden möchten (keine PW-Abfrage beim Apache reboot) nehmen wir: /root/myWonderfulHostnameCA/myWonderfulHostname_prv_key-unverschluesselt.pem , ansonsten benutzt der Hardcore-Admin bestimmt viel lieber /root/myWonderfulHostnameCA/certs/myWonderfulHostname_prv_key.pem

… Also:

 

mv /etc/httpd/conf/ssl.crt/server.crt /etc/httpd/conf/ssl.crt/server.crt.bak && cp /root/myWonderfulHostnameCA/certs/myWonderfulHostname_cert.pem /etc/httpd/conf/ssl.crt/server.crt

 

 

und

 

mv /etc/httpd/conf/ssl.key/server.key /etc/httpd/conf/ssl.key/server.key.bak && cp /root/myWonderfulHostnameCA/myWonderfulHostname_prv_key-unverschluesselt.pem /etc/httpd/conf/ssl.key/server.key

 

11.

12. Apache neustarten.

apachectl stop && apachectl start

 

]]> http://blog.gresch.de/2006/11/22/create-certificates-with-openssh/feed/ 0