Elementi di Sicurezza e Privatezza Laboratorio 10 Uso di OpenSSL per generare certificati X.509. Chiara Braghin chiara.braghin@unimi.it!

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Elementi di Sicurezza e Privatezza Laboratorio 10 Uso di OpenSSL per generare certificati X.509. Chiara Braghin chiara.braghin@unimi.it!"

Aureliana Pagani
8 anni fa
Visualizzazioni

1 Elementi di Sicurezza e Privatezza Laboratorio 10 Uso di OpenSSL per generare certificati X.509 Chiara Braghin chiara.braghin@unimi.it! OpenSSL (1) Libreria crittografica rilasciata come software opensource Implementa SSL (versione 2 e 3), TSL (versione 1) e algoritmi di crittografia simmetrica e asimmetrica Disponibile per Linux, Mac OS e Windows 1 1

OpenSSL (1) Libreria crittografica rilasciata come software opensource Implementa SSL

2 OpenSSL (2) Libreria composta da tre parti principali: w libssl.a: libreria con l implementazione e le funzioni utili al corretto funzionamento di SSLv2, SSLv3 e TLSv1, lato client o server; w libcrypto.a: libreria con le funzioni crittografiche e le funzioni di gestione dei certificati; w openssl: un tool a linea di comando che permette di utilizzare la maggior parte delle funzioni presenti in libcrypto.a. 2 OpenSSL (3) Mette a disposizione una serie di funzioni per creare e gestire una Public Key Infrastructure (PKI) I certificati emessi con le PKI create con OpenSSL rispettano lo standard X.509 e possono essere usati per server e persone 3 2

a: libreria con le funzioni crittografiche e le funzioni di gestione dei certificati; w openssl: un tool a linea di comando che permette di utilizzare la maggior

3 Emissione di Certificati (1) La procedura di emissione dei certificati è divisa in più fasi: 1. generazione della coppia (chiave privata, chiave pubblica) [Lato UTENTE] 2. richiesta di certificato [Lato UTENTE] 3. generazione del certificato [Lato CA] 4 Emissione di Certificati (2) La richiesta di un certificato per la propria chiave pubblica contiene: w La chiave pubblica da certificare w I dati dell utente che richiede il certificato La richiesta viene firmata con la chiave privata del richiedente: w La CA si assicura che l utente è in possesso della chiave privata corrispondente alla chiave pubblica che sta certificando 5 3

generazione del certificato [Lato CA] 4 Emissione di Certificati (2) La richiesta di un certificato per la propria chiave pubblica contiene: w La chiave

4 Come fare una PKI? (1) Creare la Certification Authority (CA): 1. Creare una coppia di chiavi per la CA 2. Creare un certificato autofirmato della chiave pubblica della CA 6 Come fare una PKI? (2) Creare la CA: 1. Creare una coppia di chiavi per la CA openssl genrsa [-out file.pem] [numbits]! -out file.pem, salva le chiavi generate (pubblica e privata) nel file file.pem! numbits, la lunghezza in bit della chiave Esempio: openssl genrsa -des3 -out CAkey.pem

Creare una coppia di chiavi per la CA openssl genrsa [-out file.pem] [numbits]! -out file.

5 Come fare una PKI? (3) Creare la CA: 2. Creare un certificato autofirmato della chiave pubblica della CA w openssl req [-in file] [-out file] [-key] [-new] [-days] [-x509]! -out file: salva nel file file la richiesta -in file: legge la richiesta dal file file -key: indica quale chiave utilizzare per generare il certificato oppure per quale chiave generare il certificato -new: indica che si tratta di un nuovo certificato -x509: indica di generare un certificato in formato X.509 w Esempio: openssl req -key CA-key.pem -new - 8 x509 -days 365 -out CA-cert.pem! Come fare una PKI? (4) 9 5

-out file: salva nel file file la richiesta -in file: legge la richiesta dal file file -key: indica quale chiave utilizzare per generare il

6 Come generare una richiesta di certificato? openssl req -key chiara-key.pem -new -out chiara-req.pem! w Durante la generazione della richiesta, viene chiesto all utente di specificare i dati relativi al certificato w Il file chiara-req.pem contiene la richiesta 10 Come rilasciare il certificato? openssl x509 -days 365 -CA CA-cert.pem - CAkey CA-key.pem [-Cacreateserial] [- CAserial ca.srl] -req -in chiara-req.pem - out chiara-cert.pem! w -days ###: la durata di validità del certificato w -CA CA-cert.pem: il file del certificato della CA w -CAkey CA-key.pem: il file della chiave privata della CA w -CAcreateserial: necessario creare il numero seriale per il certificato [DA UTILIZZARE SOLO AL PRIMO RILASCIO] w -CAserial ca.srl: il file che contiene il seriale dell ultimo certificato rilasciato w -req: richiesta di certificato 11 6

pem contiene la richiesta 10 Come rilasciare il certificato? openssl x509 -days 365 -CA CA-cert.pem - CAkey CA-key.pem [-Cacreateserial] [- CAserial ca.srl] -req -in chiara-req.pem - out chiara-cert.

7 Altro (1) openssl pkcs12 -in chiara-cert.pem -inkey chiara-key.pem -export -out chiara-cert.p12! w Per convertire il certificato in formato PKCS#12 come richiesto dai comuni MUA Ad esempio ora il certificato può venire importato assieme al certificato della CA nel gestore di certificati di Thunderbird 12 Altro (2) openssl req -in chiara-req.pem - text noout! w Per stampare la richiesta in forma testuale 13 7

certificato può venire importato assieme al certificato della CA nel gestore di certificati di

8 Altro (3) openssl verify [-CAfile file] [certificates]! w -CAfile file: il file file contiene la lista di tutti i certificati fidati delle CA sotto forma di concatenazione di certificati in formato PEM w certificates: la lista di uno o più certificati da verificare (tutti in formato PEM) 14 Altro (4) Per generare la CA utilizzare lo script /usr/lib/ssl/misc/ca.pl! 15 8

forma di concatenazione di certificati in formato PEM w certificates: la lista di uno o più

9 Riferimenti w R. Housley, W. Ford, W. Polk, D. Solo, RFC 2459: Internet X.509 Public Key Infrastructure -- Certificate and CRL Profile Esercizi in laboratorio 9

10 Esercizi Lavorare in coppie di PC, con A e B gli studenti sulle 2 macchine: w A prepara (e spedisce) a B in qualità di CA una richiesta di certificato w B genera il certificato e lo spedisce ad A insieme al proprio certificato w A verifica il certificato (come?) Invertire i ruoli e fare la stessa cosa

genera il certificato e lo spedisce ad A insieme al proprio certificato w A

Documenti analoghi

Esercitazione 2 Certificati

Sommario Esercitazione 2 Certificati Laboratorio di 2015/2016 Andrea Nuzzolese Certificati Descrizione esercitazione Free Secure Email Certificates (con InstantSSL) ALMA MATER STUDIORUM UNIVERSITA DI BOLOGNA