ssl – SystemTechnics https://www.systemtechnics.de IT Consulting Wed, 02 Oct 2024 17:32:49 +0000 de hourly 1 https://www.systemtechnics.de/wp-content/uploads/cropped-2003-logo-st-transparanet-x200-32x32.png ssl – SystemTechnics https://www.systemtechnics.de 32 32 Mailserver TLS Test https://www.systemtechnics.de/mailserver-tls-test/ Wed, 02 Oct 2024 17:32:48 +0000 https://www.systemtechnics.de/?p=3826 Um zu prüfen, ob ein empfangender Mailserver eine TLS (Transport Layer Security) verschlüsselte Übertragung entgegen nehmen kann, kann man folgenden Einzeiler verwenden:

openssl s_client -starttls smtp -crlf -connect [DER-MAILSERVER]:25

Um zu prüfen ob der eigene Mailserver von unserem Client verschlüsselt seine Mails entgegen nimmt, nimmer man folgenden Befehl:

openssl s_client -starttls smtp -connect [DEIN-MAILSERVER]:587

In der SSL Variante schaut das dann wie folgt aus:

openssl s_client -connect [DEIN-MAILSERVER]:465
]]> Mosquitto und der verschlüsselte Zugriff https://www.systemtechnics.de/mosquitto-und-der-verschluesselte-zugriff/ Fri, 22 Sep 2023 07:10:33 +0000 https://www.systemtechnics.de/?p=3645 Da ich gestern darüber gestolpert bin und man im Internet noch wenig darüber Finder, notiere ich mir hier einen kleinen Merker wie die Datei- und Verzeichnisrechte bei Mosquitto aussehen sollten.

Um Mosquitto über SSL/TLS abzusichern legt man unter /etc/mosquitto/conf.d eine Datei SSL mit folgendem Inhalt an:

Listener 8883
certfile /etc/mosquitto/certs/server.crt
cafile /etc/mosquitto/ca_certificates/ca.crt
keyfile /etc/mosquitto/certs/server.key

Die entsprechenden Zertifikate müssen natürlich generiert sein (da gibt es unzählige Anleitungen) und an die entsprechende Stelle kopiert werden.

Der eigentlich Kniff war bei mir unter Debian Bookworm nun, dass die Datei- und Verzeichnisrechte nicht gepasst haben. Es kam immer zu folgenden Fehlern:

1695361882: Error: Unable to load CA certificates. Check cafile "/etc/mosquitto/ca_certificates/ca.crt".
1695361882: OpenSSL Error[0]: error:8000000D:system library::Permission denied
1695361882: OpenSSL Error[1]: error:10080002:BIO routines::system lib
1695361882: OpenSSL Error[2]: error:05880002:x509 certificate routines::system lib

Abhilfe schafft dann nur folgende Befehle auszuführen und den Mosquitto Dienst neu zu starten:

chmod 0700 /etc/mosquitto/certs
chmod 0700 /etc/mosquitto/certs/*
chmod 0700 /etc/mosquitto/ca_certificates
chmod 0700 /etc/mosquitto/ca_certificates/*
]]> Grafana – Tage bis Zertifikat ausläuft ermitteln https://www.systemtechnics.de/grafana-tage-bis-zertifikat-auslaeuft-ermitteln/ Sun, 20 Jan 2019 14:00:59 +0000 http://www.systemtechnics.de/?p=2723 In letzter Zeit befasse ich mich öfters mit Grafana. Man kann damit recht einfach und übersichtlich Daten darstellen lassen. Mit folgendem Script ermittle ich das Ablaufdatum einen Webserverzertifikates.

Ich habe in einer MySQL Datenbank eine DB „Hosts“ und darin ist eine Tabelle Server enthalten. Ich verwende diese öfters und kann anhand der Spalte „certchk“ ermitteln ob ich das Zertifikat zu diesem Server ermitteln soll.

In der Variable „DOM“ stehen die Server, die in der Tabelle entsprechend eine 1 stehen haben. Zusätzlich steht in der Spalte „Port“ welcher Port (Standard 443) abgefragt werden soll. Später schreibe ich die Daten in die Tabelle „cerdata“ um diese in Grafana zu verwerten. Einmal in der Nacht mittels Crontab das Script aufrufen sollte reichen.

#!/usr/bin/env bash

SERVER=`mysql -h localhost --database=hosts -s -e "select Hostname from server where certchk = 1;"`
SDATE=`date "+%Y-%m-%d %H:%M:%S"`

for DOM in $SERVER 
do

PORT=$(mysql -h localhost --database=hosts -s -e "select port from server where Hostname = '$DOM';")
	ENDD=$( echo | openssl s_client -showcerts -servername google.com -connect $DOM:$PORT 2>/dev/null | openssl x509 -inform pem -noout -text | grep "Not After" |awk -F" " '{print $4" "$5" "$6" "$7 }')
	ENDD=$( date -d "$ENDD" +%s )
   NOWD=$( date +%s )

	ANZ=$(( ( $ENDD - $NOWD )/(60*60*24) ))
	mysql -h localhost --database=hosts -sN -e "INSERT INTO certdata ( Datum, Server, Counter) VALUES ('$SDATE', '$DOM', '$ANZ');"

done;

Wer mag kann in Grafana noch einen Alert, z.B. < 10 Tage, einrichten. Dann hat man ja noch 10 Tage Zeit sich um ein neues Zertifikat zu besorgen sofern man keines von Letsencrypt verwendet.

]]> Linkliste: Web SSL Tools https://www.systemtechnics.de/linkliste-web-ssl-tools/ Tue, 20 Dec 2016 04:40:45 +0000 http://www.systemtechnics.de/?p=1920 Nachfolgend eine Linkliste die sich rund um das Thema SMTP bzw. Mailversand befasst.

]]> Linkliste: SMTP Tools https://www.systemtechnics.de/smtp-tools/ Sun, 18 Dec 2016 05:35:27 +0000 http://www.systemtechnics.de/?p=1901 Nachfolgend eine Linkliste die sich rund um das Thema SMTP bzw. Mailversand befasst.

Hier geht es um DKIM, DMARC, Eicar, Relay, SMTP, SpamAssasin, SPF und SSL

]]> SSL Mailserver Check https://www.systemtechnics.de/ssl-mailserver-check/ Sun, 25 Sep 2016 03:58:58 +0000 http://www.systemtechnics.de/?p=1746 Um den eigenen Mailserver aus seine SSL Fähigkeiten zu prüfen kann man folgende Seite verwenden

https://de.ssl-tools.net/mailservers

ssl-mail-check

]]> Cipherscan https://www.systemtechnics.de/cipherscan/ Sat, 16 Jan 2016 05:32:44 +0000 http://www.systemtechnics.de/?p=1421 Kleiner Merkel für mich über ein Tool, mit dem man Cipher eines Webservers ermitteln kann. Zusätzlich gibt das Tool mit entsprechenden Parameter noch Tips aus

Der Link zum Tool: https://github.com/jvehent/cipherscan

]]> Webserver SSL-Konfiguration Generator https://www.systemtechnics.de/webserver-ssl-konfiguration-generator/ Sat, 16 Jan 2016 04:39:05 +0000 http://www.systemtechnics.de/?p=1417 Die richtige bzw. eine gutes SSL Konfiguration eines Webservers zu finden ist nicht so einfach. In manchen Fällen muss man auch mit Kompromissen leben und ältere Clients unterstützen.

Mozilla hat an dieser Stelle einen Generator bereitgestellt, mit dem Ihr für diverse Webserver die Konfiguration erstellen könnt.

Weitere Hintergründe zum Nachlesen der einzelnen Parameter und Hintergründe ist hier zu lesen.

ssl-generator

]]> crt.sh – wer stellt für wen Zertifikate aus https://www.systemtechnics.de/cert-sh-wer-stellt-fuer-wen-zertifikate-aus/ Sat, 05 Dec 2015 10:37:59 +0000 http://www.systemtechnics.de/?p=968 Wer man schnell schauen möchte wer welche Zertifikate ausstellt, der kann das einfach via crt.sh tun.

Die momentan beliebte CA „Let’s Encrypt“ stellt gerade fleissig neue Zertifikate aus: https://crt.sh/?Identity=%25&iCAID=7395

]]> SCP – Sicher Dateien auf den Webspace/Host kopieren https://www.systemtechnics.de/scp-sicher-dateien-auf-den-webspacehost-kopieren/ Fri, 16 Oct 2015 17:21:11 +0000 http://www.systemtechnics.de/?p=774 Mittels scp kann man bequem und sicher auf der Konsole Dateien auf seinen Webspace bzw. Host kopieren. In der folgenden Aufstellung möchte ich ein paar nützliche Parameter aufzeigen

scp dateiname benutzername@host:zielverzeichnis

Mehr Details bei der Ausgabe des Verbindungsaufbaus bekommen man mit dem zusätzlichen Parameter -v

scp -v dateiname benutzername@host:zielverzeichnis

Möchte man Zeitstempel der Quelldatei erhalten, so verwendet man den Parameter -p .

scp -p dateiname benutzername@host:zielverzeichnis

Bei großen (unkomprimierten) Dateien kann es nützlich sein eine Übertragungskompression mit dem Parameter -C einzuschalten.

scp -C dateiname benutzername@host:zielverzeichnis

Möchte man die Bandbreite bei der Übertragung limitieren, so geht das mit dem Parameter -l . Die Berechnung der Bandbreite ergibt sich dabei wie folgt: 100 KB/s * 8 (Bit) = 800.

scp -l 800 dateiname benutzername@host:zielverzeichnis

]]>