From owner-svn-doc-all@freebsd.org Sun Jun 5 15:47:52 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 194A3B6A6F4; Sun, 5 Jun 2016 15:47:52 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id CDD271E92; Sun, 5 Jun 2016 15:47:51 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u55FlpLf055016; Sun, 5 Jun 2016 15:47:51 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u55FlpZD055015; Sun, 5 Jun 2016 15:47:51 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201606051547.u55FlpZD055015@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 5 Jun 2016 15:47:51 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48899 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 05 Jun 2016 15:47:52 -0000 Author: bhd Date: Sun Jun 5 15:47:50 2016 New Revision: 48899 URL: https://svnweb.freebsd.org/changeset/doc/48899 Log: Update to r44604: Finish editorial review of OpenSSL chapter. Update instructions and examples. Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sat Jun 4 21:37:15 2016 (r48898) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun Jun 5 15:47:50 2016 (r48899) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44600 + basiert auf: r44604 --> Sicherheit @@ -1989,8 +1989,17 @@ kadmind5_server_enable="YES"Zertifikate erzeugen - Ein Zertifikat erzeugen Sie mit dem nachstehenden - Kommando: + Um ein Zertifikat zu erzeugen, das von einer externen + CA signiert werden soll, geben Sie + folgenden Befehl und die angeforderten Informationen + ein. Diese Informationen werden in das Zertifikat + geschrieben. Für Common Name geben Sie + den vollqualifizierten Namen des Systems ein, auf dem das + Zertifikat später installiert wird. Wenn der Name nicht + übereinstimmt, wird die Anwendung, die das Zertifikat + überprüft, dem Benuzter eine Warnung anzeigen. Die + Überprüfung würde fehlschlagen und das Zertifikat damit + unbrauchbar machen. &prompt.root; openssl req -new -nodes -out req.pem -keyout cert.pem Generating a 1024 bit RSA private key @@ -2018,52 +2027,66 @@ to be sent with your certificate request A challenge password []: An optional company name []:Another Name - Beachten Sie, dass die Eingabe bei - Common Name ein gültiger Domain-Name - sein muss. Eine andere Eingabe erzeugt ein unbrauchbares - Zertifikat. Das Zertifikat kann mit einer - Gültigkeitsdauer und anderen - Verschlüsselungsalgorithmen erzeugt werden. - &man.openssl.1; beschreibt die zur + Bei der Erzeugung des Zertifikates können noch weitere + Optionen, wie die Gültigkeitsdauer + und alternative Verschlüsselungsalgorithmen, angegeben + werden. &man.openssl.1; beschreibt die zur Verfügung stehenden Optionen. - Das Verzeichnis, in dem Sie den letzten Befehl ausgeführt - haben, enthält nun zwei Dateien: Die Anforderung für - ein neues Zertifikat wurde in req.pem - gespeichert. Diese Datei können Sie an eine - CA senden, wo die Angaben geprüft werden. - Nach erfolgreicher Prüfung wird das Zertifikat unterschrieben - und an Sie zurückgesandt. Die zweite Datei, cert.pem, - enthält den privaten Schlüssel für das Zertifikat - und darf auch keine Fall in fremde Hände geraten, da ein - Angreifer sonst in der Lage ist, anderen Personen oder Rechnern - vorzugaukeln, dass es sich bei ihm um Sie handelt. + Das folgende Kommando erstellt zwei Dateien im aktuellen + Verzeichnis: Die Anforderung für ein neues Zertifikat wird in + req.pem gespeichert. Diese Datei können + Sie an eine CA senden, wo die Angaben + geprüft werden. Nach erfolgreicher Prüfung wird das + Zertifikat signiert und an Sie zurückgesandt. + cert.pem, enthält den privaten Schlüssel + für das Zertifikat und darf auch keine Fall in fremde Hände + geraten, da ein Angreifer sonst in der Lage ist, anderen + Personen oder Rechnern vorzugaukeln, dass es sich bei ihm um + Sie handelt. Wenn Sie keine Signatur einer Zertifizierungsstelle - benötigen, können Sie ein selbst-signiertes + benötigen, können Sie ein selbst signiertes Zertifikat erstellen. Erzeugen Sie dazu zuerst einen RSA-Schlüssel: - &prompt.root; openssl dsaparam -rand -genkey -out myRSA.key 1024 + &prompt.root; openssl genrsa -rand -genkey -out cert.key 2048 +0 semi-random bytes loaded +Generating RSA private key, 2048 bit long modulus +.............................................+++ +.................................................................................................................+++ +e is 65537 (0x10001) + + Benutzen Sie diesen Schlüssel, um ein selbst signiertes + Zertifikat zu erzeugen. Folgen Sie wieder den Anweisungen am + Prompt: - Erzeugen Sie dann den CA-Schlüssel: - - &prompt.root; openssl gendsa -des3 -out myca.key myRSA.key - - Erstellen Sie mit diesem Schlüssel das - Zertifikat: - - &prompt.root; openssl req -new -x509 -days 365 -key myca.key -out new.crt + &prompt.root; openssl req -new -x509 -days 365 -key cert.key -out cert.crt -sha256 +You are about to be asked to enter information that will be incorporated +into your certificate request. +What you are about to enter is what is called a Distinguished Name or a DN. +There are quite a few fields but you can leave some blank +For some fields there will be a default value, +If you enter '.', the field will be left blank. +----- +Country Name (2 letter code) [AU]:US +State or Province Name (full name) [Some-State]:PA +Locality Name (eg, city) []:Pittsburgh +Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company +Organizational Unit Name (eg, section) []:Systems Administrator +Common Name (e.g. server FQDN or YOUR name) []:localhost.example.org +Email Address []:trhodes@FreeBSD.org - Zwei neue Dateien befinden sich nun im Verzeichnis: - Der Schlüssel der Zertifizierungsstelle + Dieses Kommando erstellt zwei neue Dateien im aktuellen + Verzeichnis: Der Schlüssel der Zertifizierungsstelle myca.key und das Zertifikat selbst, new.crt. Sie sollten in einem Verzeichnis, vorzugsweise unterhalb von - /etc/ssl abgelegt - werden, das nur von root lesbar - ist. Die Zugriffsrechte der Dateien können mit &man.chmod.1; - auf 0700 gesetzt werden. + /etc/ssl/ abgelegt werden, das nur von + root lesbar + ist. Die Zugriffsrechte der Dateien können mit + chmod auf 0700 gesetzt + werden. @@ -2081,37 +2104,37 @@ An optional company name []:< in der Dokumentation der entsprechenden Software. - Ergänzen Sie die Konfigurationsdatei von - Sendmail (.mc) - um die nachstehenden Zeilen: - - dnl SSL Options -define(`confCACERT_PATH',`/etc/certs')dnl -define(`confCACERT',`/etc/certs/new.crt')dnl -define(`confSERVER_CERT',`/etc/certs/new.crt')dnl -define(`confSERVER_KEY',`/etc/certs/myca.key')dnl -define(`confTLS_SRV_OPTIONS', `V')dnl - - Im Verzeichnis /etc/certs befindet - sich der Schlüssel und das Zertifikat. Bauen Sie danach im - Verzeichnis /etc/mail - mit dem Kommando make install die - .cf-Datei. Starten Sie anschließend - Sendmail mit - make restart neu. + Um Sendmail zu konfigurieren, + fügen Sie die folgenden Zeilen in + /etc/rc.conf ein: - Wenn alles gut ging, erscheinen keine Fehlermeldungen - in /var/log/maillog und - Sie sehen Sendmail in der - Prozessliste. + sendmail_enable="YES" +sendmail_cert_enable="YES" +sendmail_cert_cn="localhost.example.org" + + Dadurch wird automatisch ein selbst signiertes Zertifikat + (/etc/mail/certs/host.cert), der + Schlüssel für die CA + (/etc/mail/certs/host.key und das + Zertifikat der CA + (/etc/mail/certs/cacert.pem erzeugt. Das + Zertifikat wird den in + festgelegten Common Name verwenden. + Nachdem Sie die Änderungen gespeichert haben, starten Sie + Sendmail neu: - Testen Sie nun den Mailserver mit &man.telnet.1;: + &prompt.root; service sendmail restart + + Wenn alles gut ging, erscheinen keine Fehlermeldungen + in /var/log/maillog. Für einen einfachen + Test, bauen Sie mit Hilfe von telnet eine + Verbindung zum Mailserver auf: &prompt.root; telnet example.com 25 Trying 192.0.34.166... -Connected to example.com. +Connected to example.com. Escape character is '^]'. -220 example.com ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) +220 example.com ESMTP Sendmail 8.14.7/8.14.7; Fri, 18 Apr 2014 11:50:32 -0400 (EDT) ehlo example.com 250-example.com Hello example.com [192.0.34.166], pleased to meet you 250-ENHANCEDSTATUSCODES @@ -2125,7 +2148,7 @@ Escape character is '^]'. 250-DELIVERBY 250 HELP quit -221 2.0.0 example.com closing connection +221 2.0.0 example.com closing connection Connection closed by foreign host. Wenn die Zeile STARTTLS