Wissen

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: Start » edv » einen_selbst_signierten_ssl-schluessel_generieren_rsa
Zuletzt angesehen: einen_selbst_signierten_ssl-schluessel_generieren_rsa
edv:einen_selbst_signierten_ssl-schluessel_generieren_rsa

Inhaltsverzeichnis

einen selbst signierten SSL-Schlüssel generieren (RSA)

per Skript

/root/bin/openssl_key+crt_bauen.sh
#!/bin/sh
 
#------------------------------------------------------------------------------#
#
# mit diesem Skript erstellt man einen SSL-Schlüssel
# und das dazugehörige (selbst signierte) Zertifikat
#
#------------------------------------------------------------------------------#
 
#VERSION="v2019022600"
VERSION="v2021050400"
 
SCHLUESSEL="/usr/local/etc/ssl/key.pem"
CERTIFIKAT="/usr/local/etc/ssl/crt.pem"
 
TAGE="7000"
EMAIL="mein.name@domain.de"
STAAT="DE"
LAND="Hessen"
STADT="Frankfurt"
ORGANISATION="Firma"
ABTEILUNG="Abteilung"
CN="testsystem"
 
#ALGORITHMUS="rsa:4096"               # RSA 4096 Bit
#ALGORITHMUS="rsa:8192"               # RSA 8192 Bit
ALGORITHMUS="rsa:16384"              # RSA 16384 Bit
#ALGORITHMUS="ED448"                  # elyptische Kurven 224 Bit (Goldlöckchen)
#ALGORITHMUS="ED25519"                # elyptische Kurven 128 Bit
 
 
openssl req -rand /dev/urandom -new -x509 -newkey ${ALGORITHMUS} -sha512 -nodes -keyout ${SCHLUESSEL} -keyform PEM -out ${CERTIFIKAT} -outform PEM -days ${TAGE} -subj "/emailAddress=${EMAIL}/C=${STAAT}/ST=${LAND}/L=${STADT}/O=${ORGANISATION}/OU=${ABTEILUNG}/CN=${CN}"
 
chmod 0600 ${SCHLUESSEL}
ls -lha ${SCHLUESSEL} ${CERTIFIKAT}

Die DSA-Schlüssel sind alle NSA-optimiert und somit als unsicher anzusehen. Auch von den Schlüsseln mit elliptischen Kurven wird vermutet, dass sie NSA-optimiert sind. Weiterhin gilt die Einschränkung, dass bei den Algorithmen, die auf elliptischen Kurven basieren, die Schlüssellänge nicht konfigurierbar ist. Auch wenn von RSA nicht vermutet wird, das es NSA-optimiert ist, so arbeitet RSA doch deterministisch und ist deshalb unter Umständen für bestimmte Angriffe anfällig. In der Praxis wird RSA daher mit dem "Optimal Asymmetric Encryption Padding" kombiniert. Daraus ergibt sich, dass ein RSA-Algorithmus, der Padding verwendet, grundsätzlich als sicherer einzustufen ist als alle anderen genannten Algorithmen.

Ein 160 Bit langer Schüssel, der auf elliptischen Kurven basieren (ECDH), gilt als ähnlich sicher wie ein 1024 Bit langer RSA-Schlüssel (RSA/DH): 

160 Bit ECDH - 1024 Bit RSA/DH
224 Bit ECDH - 2048 Bit RSA/DH
256 Bit ECDH - 3072 Bit RSA/DH
384 Bit ECDH - 7680 Bit RSA/DH

ECDH-Schlüssel eignet sich daher besonders dann, wenn die Speicher- oder Rechenkapazität begrenzt ist, z. B. in Smartcards oder anderen eingebetteten Systemen.

/home/http/wiki/data/pages/edv/einen_selbst_signierten_ssl-schluessel_generieren_rsa.txt · Zuletzt geändert: von manfred