06-10-2015

Wo ist dein Beweisschlüssel?

Letzte Aktualisierung: November 2020

Obwohl sich die Gültigkeitsdauer von Zertifikaten verkürzt hat, berühren die meisten IT-Experten ihre TLS/SSL-Konfiguration nicht täglich. Viele greifen ihr Schlüsselmaterial etwa einmal im Jahr an – immer dann, wenn sie Zertifikate ändern müssen. Manchmal kann es schwierig sein, diese Zertifikate und das entsprechende Schlüsselmaterial zu verfolgen und zu verwalten, was dazu führt, dass Zeit aufgewendet wird, um den Pfad zu finden, in dem sich diese Elemente befinden. Dieser Beitrag hilft Ihnen, Ihren privaten Schlüssel zu finden. die Schritte dazu variieren je nach Webserver-Betriebssystem. Wir werden im Folgenden die gängigsten Betriebssysteme behandeln, aber zuerst erklären wir einige Grundlagen zu privaten Schlüsseln.

Was ist ein privater Schlüssel?

Alle TLS-Zertifikate erfordern einen privaten Schlüssel, um zu funktionieren. Der private Schlüssel ist eine separate Datei, die bei der Verschlüsselung/Entschlüsselung von Daten verwendet wird, die zwischen Ihrem Server und den verbindenden Clients gesendet werden. Ein privater Schlüssel wird von Ihnen – dem Zertifikatsbesitzer – erstellt, wenn Sie Ihr Zertifikat mit einer Certificate Signing Request (CSR) anfordern. Die Zertifizierungsstelle (CA), die Ihr Zertifikat bereitstellt (wie z DigiCert) erstellt oder besitzt Ihren privaten Schlüssel nicht. Tatsächlich sollte niemandem außerhalb Ihrer Administratoren jemals Zugriff auf dieses Material gewährt werden. Wir haben eine Zunahme der Fälle beobachtet, in denen CAs Zertifikate widerrufen mussten, weil Administratoren die Schlüssel in einem Online-Repository wie GitHub veröffentlicht haben. Auch wenn Sie nicht glauben, dass die Site sensible Informationen verarbeitet, erfordert jede Offenlegung des privaten Schlüssels den Widerruf aller entsprechenden Zertifikate. Wenn Sie Ihr Zertifikat noch nicht installiert haben, befindet sich Ihr privater Schlüssel wahrscheinlich auf dem Computer oder Server, auf dem Sie das Schlüsselpaar und die CSR generiert haben. Beim Generieren des Schlüsselpaars haben Sie zwei Dateien gespeichert: eine mit dem öffentlichen Schlüssel und eine mit dem privaten Schlüssel. Für OpenSSL können Sie den Befehl openssl version –a ausführen, um den Ordner zu finden, in dem Ihre Schlüsseldateien gespeichert werden (standardmäßig /usr/local/ssl). Unter Windows (IIS) verwaltet das Betriebssystem Ihre CSRs für Sie. Sie möchten zuerst die Anfrage abschließen und dann den Schlüssel exportieren (Anweisungen unten).

So finden Sie Ihren privaten Schlüssel

Wenn Ihr Zertifikat bereits installiert ist, führen Sie diese Schritte aus, um Ihre private Schlüsseldatei für diese gängigen Betriebssysteme zu finden.

Apache

Auf den Speicherort Ihrer privaten Schlüsseldatei wird in der Hauptkonfigurationsdatei von Apache verwiesen, die httpd.conf oder apache2 ist. Konf. Die Direktive SSLCertificateKeyFile gibt den Pfad auf Ihrem Server an, auf dem Ihr Schlüssel gespeichert ist. OpenSSL, die beliebteste SSL-Bibliothek auf Apache, speichert private Schlüssel standardmäßig in /usr/local/ssl. Du kannst  Führen Sie den Befehl openssl version –a aus, um OPENSSLDIR ,  zu finden, und bestätigen Sie den Ordner, in dem Ihr Server die Schlüssel speichert.

NGINX

Sie können den Speicherort des privaten Schlüssels in der virtuellen Hostdatei Ihrer Site finden. Navigieren Sie zum Serverblock für diese Site (standardmäßig im Verzeichnis /var/www/). Öffnen Sie die Hauptkonfigurationsdatei für die Site und Suchen Sie nach der Direktive ssl_certificate_key, die den Dateipfad für den privaten Schlüssel bereitstellt (einige Benutzer haben eine separate Konfigurationsdatei für ihr SSL, wie z. B. ssl.conf).

Windows (IIS)

Auf Windows-Servern verwaltet das Betriebssystem Ihre Zertifikatsdateien für Sie in einem versteckten Ordner, aber Sie können den privaten Schlüssel abrufen, indem Sie eine „.pfx“-Datei exportieren, die das/die Zertifikat(e) und den privaten Schlüssel enthält. Öffnen Sie die Microsoft Management Console (MMC). Erweitern Sie im Konsolenstamm Zertifikate (Lokaler Computer). Ihr Serverzertifikat befindet sich im Unterordner Personal oder Web Server. Suchen Sie das Zertifikat, das durch den Common Name identifiziert wird, und klicken Sie mit der rechten Maustaste darauf, wählen Sie Exportieren und folgen Sie dem geführten Assistenten. Dadurch erhalten Sie eine .pfx-Datei. Eine detaillierte Schritt-für-Schritt-Anleitung finden Sie hier. Je nachdem, was Sie mit dem privaten Schlüssel machen möchten, müssen Sie den privaten Schlüssel möglicherweise durch Konvertieren der .pfx-Datei in eine separate Datei aufteilen. Wenn Sie den Schlüssel einfach sichern oder auf einem anderen Windows-Server installieren möchten, liegt er bereits im richtigen Format vor. Für die Verwendung mit anderen Plattformen wie Apache möchten Sie die .pfx konvertieren, um die .crt/.cer- und die .key-Datei mit . zu trennen SSL öffnen. Wenn Sie den privaten Schlüssel mit dieser Methode nicht finden können, können Sie versuchen, den herunterzuladen DigiCert SSL-Dienstprogramm. Mit dieser Software können Sie Ihr Zertifikat importieren und Ihren privaten Schlüssel automatisch finden, wenn er sich auf diesem Server befindet. Beachten Sie, dass es sich um eine lokale Software handelt, die keine Informationen über das Schlüsselmaterial an DigiCert weitergibt. DigiCert erhält niemals privates Schlüsselmaterial für TLS-Zertifikate und die Hinterlegung von TLS-Schlüsseln durch die.

Wo könnte es sonst sein?

Wenn Sie die Schritte für Ihr Betriebssystem befolgt und Ihren Schlüssel nicht gefunden haben, suchen Sie möglicherweise einfach an der falschen Stelle. Wenn Sie mit einem Server arbeiten, der funktionierende HTTPS-Verbindungen bereitstellt, befindet sich der Schlüssel irgendwo auf diesem Server (oder ist für diesen Server zugänglich), andernfalls würden HTTPS-Verbindungen fehlschlagen. Wir können hier nur die Standardszenarien behandeln – es ist möglich, dass Ihre Organisation eine benutzerdefinierte Konfiguration verwendet. Sie können versuchen, Ihren Server nach einer „.key“-Datei zu durchsuchen oder die Schritte auszuführen, die Sie befolgen würden, um ein neues Zertifikat zu installieren, das irgendwann die Angabe eines privaten Schlüssels beinhalten sollte. Auf einigen Plattformen speichert OpenSSL die .key-Datei in demselben Verzeichnis, in dem der Befehl –req ausgeführt wurde. Wenn Sie das Zertifikat noch installieren müssen und den Schlüssel nicht finden können, ist er möglicherweise nicht mehr vorhanden. Wenn Sie den CSR erstellt haben, aber Ihre Schlüsseldatei nicht finden können, ist es am einfachsten, Ihr Zertifikat neu auszustellen. Beginnen Sie mit der Erstellung eines neuen CSR — Stellen Sie sicher, dass Sie den privaten Schlüssel diesmal an einem bekannten Ort speichern – und koppeln Sie das Zertifikat mit diesem neuen Schlüssel. Die Neuausstellung ist bei DigiCert immer kostenlos. Obwohl es für die Sicherheit von entscheidender Bedeutung ist, zu wissen, wo und wie Sie Schlüsselmaterial schützen, empfehlen wir Ihnen dringend, bei jeder Bestellung eines neuen Zertifikats ein neues Schlüsselpaar zu generieren. Die Wiederverwendung von Schlüsselmaterial ist eine verpönte Praxis, die zu weit verbreiteten Problemen führen kann, wenn ein Schlüssel kompromittiert wird, und zu einem schlechten Sicherheitsrahmen führen kann, wenn neue Bedrohungen entdeckt werden. Das Generieren von Schlüsselmaterial und CSRs ist einfacher denn je und DigiCert unterstützt häufige Schlüsselübergaben, um Unternehmen bei der Einführung einer guten Sicherheitshygiene zu unterstützen.

 

 

UP NEXT

Einrichtung von DMARC für die VMC-Qualifizierung Ihrer Domain

Im Blickpunkt

02-16-2021

Neue Technologien und Regularien bringen Online-Identitätsprüfungen voran

Einheitliche Glaubwürdigkeits- und Risikoeinschätzung für die Identitätsprüfung dank neuen Anforderungen durch ETSI TS 119 461

Verschlüsseln und Entschlüsseln – ein immerwährender Wettbewerb

03-11-2021

Die gesellschaftliche Relevanz von Quantencomputern