Blog Image

MaxSpirit - bevlogen ICT!

Melle Visser

https://www.maxspirit.nl

Certificaten Controleren

Certificaten Posted on Fri, March 09, 2012 12:10:38

Certificaten controleren kan eenvoudig met OpenSSL

Controleer een Certificate Signing Request (CSR)
openssl req -text -noout -verify -in CSR.csr

Controleer een private key
openssl rsa -in privateKey.key -check

Controleer een PEM certificaat
openssl x509 -in certificate.pem -text -noout
openssl x509 -in certificate.pem -text -noout |grep ‘Subject:\|Issuer:’

Controleer een DER certificaat
openssl x509 -in certificate.crt -text -noout -inform der
openssl x509 -in certificate.crt -text -noout -inform der |grep ‘Subject:\|Issuer:’

Controleer een PKCS7 PEM bestand (.p7b)
openssl pkcs7 -in keyStore.p7b -inform PEM -print_certs -text -noout

Controleer een PKCS7 DER bestand (.p7b)
openssl pkcs7 -in keyStore.p7b -inform DER -print_certs -text -noout

Controleer een PKCS12 bestand (.pfx or .p12)
openssl pkcs12 -info -in keyStore.p12

Controleer of de key hoort bij het certificaat
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in privateKey.key | openssl md5

Als de twee md5 hash’s overeenkomen, dan zijn key en certificaat een setje (paartje).

Handige Links

http://www.sslshopper.com/article-most-common-openssl-commands.html



SSH Tunnel

Linux Posted on Sun, March 04, 2012 10:49:33

SSH is enorm geavanceerd is zijn mogelijkheden.
Een van de werkelijk geweldige features is de mogelijkheid om te tunnelen en als socks proxy te gebruiken.

De naam tunnelen komt voort uit het feit dat je verkeer stuurt door de opgezette ssh connectie, een tunnel door de internet wolk.

Tunnels

Er zijn drie soort tunnels die je kan opzetten.

1. Lokaal; verkeer van een lokale poort wordt doorgestuurd naar een remote poort
-L [bind_address:]port:host:hostport

2. Remote; verkeer van een remote poort wordt doorgestuurd naar een lokale poort
-R [bind_address:]port:host:hostport

3. Proxy; verkeer van een lokale poort wordt doorgestuurd naar de remote server
-D [bind_address:]port

Voorbeelden

nr 1; Stel je bent op host A en je wil de website van host B benaderen, maar op de firewall staat alleen de ssh poort open (standaard 22).
Start vanaf host A een ssh sessie op naar host B met de lokale tunnel optie:

ssh -L 1080:hostB:80 user@hostB

vereist: de opgegeven poort is een poort op je lokale machine en die moet niet in gebruik zijn.
Op host A ga je met een browser naar http://localhost:1080
et voilà!

nr 2; Dit is net als nummer 1, maar dan anderom. Stel je bent op host A en je wil de website van host B benaderen,
maar op de firewall staat alleen de ssh poort open (standaard 22).
Start vanaf host B een ssh sessie op naar host A met de remote tunnel optie.

ssh -R 1080:localhost:80 user@hostA

vereist: de opgegeven poort is een poort op je lokale machine en die moet niet in gebruik zijn.
Op host A ga je met een browser naar http://localhost:1080
et voilà!

nr 3; Stel je bent op host A en je wil alle interne websites en services van host B benaderen, maar op de firewall staat alleen de ssh poort open (standaard 22).
Start vanaf hostA een ssh sessie op naar hostB met de dynamische proxy optie:

ssh -D 1080 user@hostB

vereist: de opgegeven poort is een poort op je lokale machine en die moet niet in gebruik zijn.
Stel nu de proxy van je browser in op: localhost:1080
et voilà!

Tip

Om een tunnel beschikbaar te maken voor anderen, kan je de optie -g meegeven. Dan wordt de poort niet aan localhost gebonden maar aan alle interfaces.

Gevaar

Waarom wil je mensen geen toegang geven tot servers met ssh?
Omdat het dus zo enorm krachtig is.
Stel iemand zit thuis en wil op zaak kunnen werken.
Maar er is geen toegang mogelijk vanaf buiten en op de zaak is wel internet mogelijk op http en https.
Met ssh is dat geen probleem.
Zet vanaf de zaak een ssh sessie met de thuis server op met de remote tunnel naar de lokale ssh poort. Gebruik thuis de opgezette poort om een ssh sessie terug op te zetten naar de zaak en combineer deze met de proxy optie.
et voilà!

Handige Links

man ssh



« Previous