Toon posts:

[Apache+OpenSSL] AES-256 SSL Certificate self-signed

Pagina: 1
Acties:
  • 126 views sinds 30-01-2008
  • Reageer

dinsdag 9 januari 2007 13:03

Acties:
  • capedro
  • Registratie: Oktober 2000
  • Laatst online: 17-12-2025

capedro

Topicstarter
Ola,

Voor een aantal services op mijn webserver gebruik ik een self-signed ssl-certificaat onder apache. Echter Firefox 2 geeft aan dat het niet vertrouwd is en weigerd hem te laden. Na wat spit werk kwam ik er achter dat ik een RC4 128-bits certificaat heb.

Echter firefox 2 wil wel werken met een AES-256 256-bits certificaat.

Tot nu toe heb ik het volgende script gebruikt om een self-signed cert te generen:
code:
1
2
3

openssl genrsa -aes256 -out ./ssl.key/cert.key 2048
openssl req -new -key ./ssl.key/cert.key -out ./ssl.crt/cert.csr
openssl req -new -x509 -days 1827 -key ./ssl.key/cert.key -out ./ssl.crt/cert.crt


Iemand een idee hoe ik een AES-256 256-bits certificaat kan maken? _/-\o_

My weblog

dinsdag 9 januari 2007 15:44

Acties:

Verwijderd

capedro schreef op dinsdag 09 januari 2007 @ 13:03:
Ola,

Voor een aantal services op mijn webserver gebruik ik een self-signed ssl-certificaat onder apache. Echter Firefox 2 geeft aan dat het niet vertrouwd is en weigerd hem te laden. Na wat spit werk kwam ik er achter dat ik een RC4 128-bits certificaat heb.

Echter firefox 2 wil wel werken met een AES-256 256-bits certificaat.

Tot nu toe heb ik het volgende script gebruikt om een self-signed cert te generen:
code:
1
2
3

openssl genrsa -aes256 -out ./ssl.key/cert.key 2048
openssl req -new -key ./ssl.key/cert.key -out ./ssl.crt/cert.csr
openssl req -new -x509 -days 1827 -key ./ssl.key/cert.key -out ./ssl.crt/cert.crt


Iemand een idee hoe ik een AES-256 256-bits certificaat kan maken? _/-\o_
Volgens mij klopt je scriptje niet helemaal: je maakt in regel 2 een csr, maar in regel 3 sign je die niet. Ik zou eerder aan het volgende denken:

code:
1
2

openssl req -new -out server.csr
openssl x509 -in server.csr -out server.cert -req -signkey privkey.pem -days 1827


Met de eerste regel maak je een csr (server.csr) en een private key (privkey.pem). In de tweede regel sign je het csr. Het resulterende bestand server.cert is prima te importeren in firefox 2.0. Zie ook http://tud.at/programm/apache-ssl-win32-howto.php3

dinsdag 9 januari 2007 15:56

Acties:
  • MTWZZ
  • Registratie: Mei 2000
  • Laatst online: 13-08-2021

MTWZZ

One life, live it!

Buiten je certificaat, wat heb je in je httpd.conf/apache2.conf staan voor SSLCipherSuite?
Kijk eerst even of je daar wel high-grade encryptie doet. Ik heb een zelfde soort probleem gehad met IE7 die geen HTTPS site van mij wilde laden.

Zoiets zou wel moeten werken. High + Medium grade
code:
1
2

SSLProtocol -all +TLSv1 +SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

[ Voor 25% gewijzigd door MTWZZ op 09-01-2007 15:57 ]

Nu met Land Rover Series 3 en Defender 90

dinsdag 9 januari 2007 19:31

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 02-02 21:20

Equator

Crew Council

#whisky #barista

En voor de duidelijkheid:
Een certificaat heeft een bepaalde grootte qua publieke sleutel: 512/1024/2048 bits
De private sleutel is in jouw voorbeeld met een AES 256bit versleuteld. (genrsa -aes256)

Dus een 256 bit AES certificaat bestaat niet echt ;)

offtopic:
Kleine hint naar mijn signature voor online certificaat generatie -for testing only -

woensdag 10 januari 2007 09:00

Acties:
  • capedro
  • Registratie: Oktober 2000
  • Laatst online: 17-12-2025

capedro

Topicstarter
MTWZZ schreef op dinsdag 09 januari 2007 @ 15:56:
Buiten je certificaat, wat heb je in je httpd.conf/apache2.conf staan voor SSLCipherSuite?
Kijk eerst even of je daar wel high-grade encryptie doet. Ik heb een zelfde soort probleem gehad met IE7 die geen HTTPS site van mij wilde laden.

Zoiets zou wel moeten werken. High + Medium grade
code:
1
2

SSLProtocol -all +TLSv1 +SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
Dank, dat was het probleem... nu wordt ie netjes geladen _/-\o_
Verwijderd schreef op dinsdag 09 januari 2007 @ 15:44:
[...]


Volgens mij klopt je scriptje niet helemaal: je maakt in regel 2 een csr, maar in regel 3 sign je die niet. Ik zou eerder aan het volgende denken:

code:
1
2

openssl req -new -out server.csr
openssl x509 -in server.csr -out server.cert -req -signkey privkey.pem -days 1827


Met de eerste regel maak je een csr (server.csr) en een private key (privkey.pem). In de tweede regel sign je het csr. Het resulterende bestand server.cert is prima te importeren in firefox 2.0. Zie ook http://tud.at/programm/apache-ssl-win32-howto.php3
Daar ga ik ook ff mee stoeien

Allen bedankt voor de info!

My weblog

woensdag 10 januari 2007 11:36

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 31-01 23:50

igmar

ISO20022

capedro schreef op woensdag 10 januari 2007 @ 09:00:
Dank, dat was het probleem... nu wordt ie netjes geladen _/-\o_
Ik zou in de toekomst de SSL logging eens aanzetten in dit soort gevallen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq