Tags: Verschlüsselung, Windows 10
Unter Windows muss OpenSSL anders als bei Linux erst installiert werden. Dieser Beitrag zeigt alternative Methoden zum manuellen Download und der Installation des MSI-Pakets. Dazu gehören der Einsatz eines Paket-Managers sowie die Nutzung eines Linux-Images für Docker-Container unter Windows 10.
Eine Funktion von OpenSSL besteht darin, Hashes von Passwörtern zu generieren, damit man sie nicht als Klartext in Konfigurationsdateien ablegen muss. Das trifft zum Beispiel auf Antwortdateien von Kickstart zu, in denen man das root-Kennwort vor neugierigen Blicken schützen kann.
Dies erfolgt mit einem Eintrag nach dem Muster
rootpw --iscrypted $1$IyJZxkGm$nA2PQltIBAf8WDGtlnskk1
Beim abgebildeten Secret handelt es sich natürlich nicht um das Passwort, sondern einen Hash-Wert davon. Es liegt in der Natur von Hashes, dass Angreifer, die ihn abfangen, mathematisch unmöglich auf das ursprüngliche Passwort schließen können.
Installation über Chocolatey
Für das Generieren eines solchen Passwort-Hashes bietet sich OpenSSL an. Wenn man Win64 OpenSSL nicht manuell herunterladen, installieren und konfigurieren möchte, dann kann man zu einem Windows-Paketmanager wie Chocolatey greifen.
Hier ließe sich OpenSSL einfach mit
choco install openssl.light
installieren, wobei sich der Paketmanager wie bei Linux auch um Abhängigkeiten und die Konfiguration kümmert.
Linux-Container
Eine weitere Option ist der Einsatz eines Container-Images auf Docker für Windows, um OpenSSL gleich unter Linux verwenden zu können. Voraussetzung dafür ist natürlich, dass man erst Docker für Windows 10 installiert. Diese Anleitung beschreibt, wie man dafür vorgeht.
Verfügt man über einen Account in Docker Hub, dann kann man etwa ein Image für Amazon Linux mit
docker pull amazonlinux
herunterladen. Der Befehl
docker run -name amazonlinux -rm -i -t amazonlinux bash
erstellt und startet einen interaktiven Amazon-Linux-Container mit Bash.
Das Installieren von OpenSSL erfolgt dann mit
sudo yum install openssl
Danach lässt sich ein Passwort-Hash einfach mit
openssl passwd -1 "MyPassword"
erzeugen.
Damit ergänzt man nun die Kickstart-Datei wie oben beschrieben. Der Vollständigkeit halber sei noch erwähnt, dass OpenSSL per Default MD5-Hashes generiert.
Täglich Know-how für IT-Pros mit unserem Newsletter
Thomas Drilling arbeitet ist seit fast 30 Jahren selbständig in der IT-Welt sowohl als Consultant, als auch als Redakteur, Buchautor und Journalist für viele ehemalige und aktuelle IT-Magazine sowie Blogs.
Aktuell bestätigt sich Thomas schwerpunktmäßig als IT-Trainer für Cloud-Computing in den Bereichen Microsoft Azure, Amazon Web Services und VMware.
Thomas ist zertifizierter Microsoft-Trainer für nahe das gesamte Portfolio an Microsoft Azure Trainings. Thomas ist außerdem zertifizierter Microsoft Azure Solutions Architect Expert sowie VMware Certified Professional und wurde von VMware in den Jahren 2016 bis 2022 mit dem Blogger-Status vExpert ausgezeichnet.
Thomas führt aktuell jeden Monat zwei selbstkonziperte 4-tägigen Grundlagenkurse in Cloud Computing mit Azure durch, die sich inhaltlich bewusst von den Microsft-Kursen abheben und vorzuweise als Bootcamp in eine besonderen Lokation stattfinden. Optional kann aber aber auch remote via Microsoft Teams teilgenommen werden.
Das aktuelle Trainingsprogramm findet sich unter Azure-Trainings. Weitere Informationen und Anmeldung über sein Azure-Blog.
Verwandte Beiträge
- NCP optimiert Windows-VPN-Clients für das Home-Office
- BitLocker aktivieren mit manage-bde, PowerShell oder WMI
- Exchange 2019 CU14 aktiviert Extended Protection, HSTS-Support für 2016 und 2019 ab sofort
- BitLocker mit Intune verwalten
- Microsoft deaktiviert TLS 1.0 und 1.1 in Windows: Einstellungen und Eventlogs prüfen
Weitere Links