Kaip sukurti savarankiškai pasirašytą sertifikatą naudojant OpenSSL

Kaip sukurti savarankiškai pasirašytą sertifikatą naudojant OpenSSL
Tokie skaitytojai kaip jūs padeda palaikyti MUO. Kai perkate naudodami nuorodas mūsų svetainėje, galime uždirbti filialų komisinius. Skaityti daugiau.

SSL/TLS sertifikatai yra būtini norint apsaugoti žiniatinklio programą ar serverį. Nors kelios patikimos sertifikatų institucijos teikia SSL/TLS sertifikatus už mokestį, taip pat galima sugeneruoti savarankiškai pasirašytą sertifikatą naudojant OpenSSL. Nors savarankiškai pasirašytiems sertifikatams nėra patikimos institucijos patvirtinimo, jie vis tiek gali užšifruoti jūsų žiniatinklio srautą. Taigi, kaip galite naudoti „OpenSSL“, kad sukurtumėte savarankiškai pasirašytą sertifikatą savo svetainei ar serveriui?





DIENOS VAIZDO ĮRAŠO PAGALBA SLĖKITE, KAD TĘSITE SU TURINIU

Kaip įdiegti OpenSSL

OpenSSL yra atvirojo kodo programinė įranga. Bet jei neturite programavimo žinių ir nerimaujate dėl kūrimo procesų, jis turi šiek tiek techninės sąrankos. Norėdami to išvengti, galite atsisiųsti naujausią OpenSSL kodo versiją, visiškai sukompiliuotą ir paruoštą įdiegti, iš slproweb svetainėje .



Čia pasirinkite naujausios OpenSSL versijos MSI plėtinį, tinkamą jūsų sistemai.





Ekrano kopija iš slproweb svetainės, skirta OpenSSL atsisiuntimui

Kaip pavyzdį apsvarstykite OpenSSL adresu D:\OpenSSL-Win64 . Galite tai pakeisti. Jei diegimas baigtas, atidarykite „PowerShell“ kaip administratorių ir eikite į pavadintą poaplankį šiukšliadėžė aplanke, kuriame įdiegėte OpenSSL. Norėdami tai padaryti, naudokite šią komandą:

Kaip įkelti nuotraukas iš „iPhone“ į „Mac“ 
 cd 'D:\OpenSSL-Win64\bin'

Dabar turite prieigą prie openssl.exe ir gali paleisti kaip tik nori.



Vykdykite versijos komandą, kad pamatytumėte, ar įdiegtas openssl

Sukurkite savo privatų raktą naudodami OpenSSL

Norėdami sukurti savarankiškai pasirašytą sertifikatą, jums reikės privataus rakto. Tame pačiame šiukšliadėžės aplanke galite sukurti šį privatų raktą įvesdami šią komandą PowerShell, kai atidarysite kaip administratorius.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Ši komanda sugeneruos 2048 bitų ilgio, 3DES užšifruotą RSA privatųjį raktą per OpenSSL. OpenSSL paprašys įvesti slaptažodį. Turėtumėte naudoti a stiprus ir įsimenamas slaptažodis . Du kartus įvedę tą patį slaptažodį, sėkmingai sugeneruosite privatųjį RSA raktą.



RSA raktui generuoti naudojamos komandos išvestis

Privatų RSA raktą galite rasti su pavadinimu myPrivateKey.key .

Kaip sukurti CSR failą naudojant OpenSSL

Jūsų sukurto privataus rakto nepakaks. Be to, norint sukurti savarankiškai pasirašytą sertifikatą, reikalingas CSR failas. Norėdami sukurti šį CSR failą, turite įvesti naują komandą PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL taip pat paprašys slaptažodžio, kurį įvedėte, kad sugeneruotumėte privatųjį raktą čia. Ji toliau prašys jūsų teisinės ir asmeninės informacijos. Būkite atsargūs, kad teisingai įvestumėte šią informaciją.

CSR failui generuoti naudojamos komandos išvestis

Be to, visas iki šiol atliktas operacijas galima atlikti viena komandine eilute. Jei naudojate toliau pateiktą komandą, vienu metu galite sugeneruoti ir asmeninį RSA raktą, ir CSR failą:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Komandos, naudojamos RSA ir CSR failams sukurti vienu metu, išvestis

Dabar galėsite matyti failą pavadinimu myCertRequest.csr atitinkamame kataloge. Šiame jūsų sukurtame CSR faile yra informacijos apie:

  • Pažymos prašanti institucija.
  • Bendrasis pavadinimas (t. y. domeno pavadinimas).
  • Viešasis raktas (šifravimo tikslais).

Jūsų sukurtus CSR failus turi peržiūrėti ir patvirtinti tam tikros institucijos. Norėdami tai padaryti, CSR failą turite nusiųsti tiesiai sertifikavimo institucijai arba kitoms tarpinėms institucijoms.

garo klaida nepakanka vietos diske

Šios institucijos ir brokerių namai tikrina, ar jūsų pateikta informacija yra teisinga, atsižvelgdama į pageidaujamo sertifikato pobūdį. Taip pat gali tekti siųsti kai kuriuos dokumentus neprisijungus (faksu, paštu ir pan.), kad įrodytumėte, ar informacija yra teisinga.

Sertifikato parengimas sertifikavimo institucijos

Kai siunčiate sukurtą CSR failą galiojančiai sertifikavimo institucijai, sertifikavimo institucija pasirašo failą ir išsiunčia sertifikatą prašančiajai institucijai ar asmeniui. Tai darydama, sertifikavimo institucija (taip pat žinoma kaip CA) taip pat sukuria PEM failą iš CSR ir RSA failų. PEM failas yra paskutinis failas, reikalingas savarankiškai pasirašytam sertifikatui. Šie etapai užtikrina SSL sertifikatai išlieka tvarkingi, patikimi ir saugūs .

Taip pat galite patys sukurti PEM failą naudodami OpenSSL. Tačiau tai gali kelti potencialų pavojų jūsų sertifikato saugumui, nes nėra aiškus jo autentiškumas ar galiojimas. Be to, dėl to, kad sertifikato negalima patikrinti, jis gali neveikti kai kuriose programose ir aplinkose. Taigi šiame savarankiškai pasirašyto sertifikato pavyzdyje galime naudoti netikrą PEM failą, tačiau, žinoma, tai neįmanoma naudojant realiame pasaulyje.

Kol kas įsivaizduokite PEM failą pavadinimu myPemKey.pem gaunamas iš oficialios sertifikavimo institucijos. Norėdami sukurti PEM failą sau, galite naudoti šią komandą:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Jei turėtumėte tokį failą, komanda, kurią turėtumėte naudoti savo pasirašytam sertifikatui, būtų tokia:

atkurti „Windows 8“ iš „Windows 10“ 
 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Ši komanda reiškia, kad CSR failas yra pasirašytas privačiu raktu, pavadintu myPemKey.pem , galioja 365 dienas. Dėl to sukuriate sertifikato failą pavadinimu mySelfSignedCert.cer .

Vaizdas, kurio savarankiškai pasirašytas sertifikatas yra aplanke

Savarankiškai pasirašyto sertifikato informacija

Galite naudoti šią komandą norėdami patikrinti informaciją apie sukurtą savarankiškai pasirašytą sertifikatą:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Tai parodys visą informaciją, esančią sertifikate. Galima matyti daug informacijos, tokios kaip įmonės ar asmeninė informacija, sertifikate naudojami algoritmai.

Ką daryti, jei savarankiškai pasirašytų sertifikatų nepasirašė sertifikavimo institucija?

Labai svarbu patikrinti sukurtus savarankiškai pasirašytus sertifikatus ir patvirtinti, kad jie yra saugūs. Paprastai tai daro trečiosios šalies sertifikatų teikėjas (ty CA). Jei neturite sertifikato, kurį pasirašė ir patvirtino trečiosios šalies sertifikatų institucija, ir naudojate šį nepatvirtintą sertifikatą, susidursite su saugumo problemomis.

Pvz., įsilaužėliai gali naudoti jūsų pačių pasirašytą sertifikatą, kad sukurtų netikrą svetainės kopiją. Tai leidžia užpuolikui pavogti vartotojų informaciją. Jie taip pat gali gauti jūsų naudotojų naudotojų vardus, slaptažodžius ar kitą neskelbtiną informaciją.

Siekiant užtikrinti vartotojų saugumą, svetainės ir kitos paslaugos paprastai turi naudoti sertifikatus, kurie iš tikrųjų yra sertifikuoti CA. Tai užtikrina, kad vartotojo duomenys yra užšifruoti ir jungiasi prie tinkamo serverio.

Savarankiškai pasirašytų sertifikatų kūrimas sistemoje „Windows“.

Kaip matote, sukurti savarankiškai pasirašytą sertifikatą sistemoje Windows naudojant OpenSSL yra gana paprasta. Tačiau atminkite, kad jums taip pat reikės sertifikavimo institucijų patvirtinimo.

Nepaisant to, tokio sertifikato sukūrimas rodo, kad rimtai žiūrite į vartotojų saugumą, o tai reiškia, kad jie labiau pasitikės jumis, jūsų svetaine ir visu jūsų prekės ženklu.