SSL sertifikāta iegūšana no jebkuras lielākās sertifikācijas iestādes (CA) var izmaksāt USD 100 un vairāk. Pievienojiet šim jaunumam ziņas, kas, šķiet, norāda, ka ne visām izveidotajām CA var uzticēties 100% gadījumu, un jūs, iespējams, nolemjat apiet nenoteiktību un izdzēst izmaksas, kļūstot par savu sertifikātu iestādi.
Soļi
1. daļa no 4: CA sertifikāta izveide
1. solis. Izveidojiet savu CA privāto atslēgu, izdodot šādu komandu
-
openssl genrsa -des3 -out server. CA.key 2048
-
Izskaidrotas iespējas
- openssl - programmatūras nosaukums
- genrsa - izveido jaunu privāto atslēgu
- -des3 - šifrējiet atslēgu, izmantojot DES šifru
- -out server. CA.key - jūsu jaunās atslēgas nosaukums
- 2048 - privātās atslēgas garums bitos (lūdzu, skatiet brīdinājumus)
- Saglabājiet šo sertifikātu un paroli drošā vietā.
2. solis. Izveidojiet sertifikāta parakstīšanas pieprasījumu
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Izskaidrotās iespējas:
- req - izveido parakstīšanas pieprasījumu
- - daudzpusīga - parāda detalizētu informāciju par pieprasījumu tā izveides laikā (pēc izvēles)
- -jauns - izveido jaunu pieprasījumu
- -key server. CA.key - privātā atslēga, kuru tikko izveidojāt iepriekš.
- -out server. CA.csr - izveidotā parakstīšanas pieprasījuma faila nosaukums
- sha256 - šifrēšanas algoritms, ko izmantot pieprasījumu parakstīšanai (ja nezināt, kas tas ir, nemainiet to. Mainiet to tikai tad, ja zināt, ko darāt)
3. solis. Aizpildiet informāciju, cik vien iespējams
-
Valsts nosaukums (divu burtu kods) [ĀS]:
ASV
-
Štata vai provinces nosaukums (pilns nosaukums) [dažas valstis]:
CA
-
Vietas nosaukums (piemēram, pilsēta) :
Silikona ieleja
-
Organizācijas nosaukums (piemēram, uzņēmums) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organizācijas vienības nosaukums (piemēram, sadaļa) :
-
Parastais nosaukums (piemēram, servera FQDN vai JŪSU vārds) :
-
Epasta adrese :
4. solis. Parakstiet savu sertifikātu:
-
openssl ca -extensions v3_ca -out server. CA -parakstīts.crt -taustiņu failu serveris. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Izskaidrotās iespējas:
- ca - ielādē sertifikātu iestādes moduli
- -extension v3_ca -ielādē v3_ca paplašinājumu, kas ir obligāti jāizmanto mūsdienu pārlūkprogrammās
- -out server. CA -parakstīts.crt -jūsu jaunās parakstītās atslēgas nosaukums
- -keyfile server. CA.key - privātā atslēga, kuru izveidojāt 1. darbībā
- - daudzpusīga - parāda detalizētu informāciju par pieprasījumu tā izveides laikā (pēc izvēles)
- -selfsign - Pastāsta openssl, ka pieprasījuma parakstīšanai izmantojat to pašu atslēgu
- -md sha256 - Šifrēšanas algoritms, ko izmantot ziņojumam. (Ja jūs nezināt, kas tas ir, nemainiet to. Mainiet to tikai tad, ja zināt, ko darāt)
- -enddate 330630235959Z - Sertifikāta beigu datums. Apzīmējums ir YYMMDDHHMMSSZ, kur Z ir GMT, dažreiz pazīstams kā “Zulu” laiks.
- -infiles server. CA.csr - parakstīšanas pieprasījuma fails, kuru izveidojāt iepriekš.
5. solis. Pārbaudiet savu CA sertifikātu
- openssl x509 -noout -text -in server. CA.crt
-
Izskaidrotās iespējas:
- x509 - ielādē x509 moduli, lai pārbaudītu parakstītos sertifikātus.
- -noout - neizvadiet kodēto tekstu
- -teksts - izvada informāciju uz ekrāna
- -in server. CA.crt - ielādējiet parakstīto sertifikātu
- Failu server. CA.crt var izplatīt ikvienam, kurš izmantos jūsu vietni vai izmantos sertifikātus, kurus plānojat parakstīt.
2. daļa no 4: SSL sertifikātu izveide pakalpojumam, piemēram, Apache
1. darbība. Izveidojiet privātu atslēgu
-
2048
-
Izskaidrotās iespējas:
- openssl - programmatūras nosaukums
- genrsa - izveido jaunu privāto atslēgu
- -des3 - šifrējiet atslēgu, izmantojot DES šifru
- -out server.apache.key - jūsu jaunās atslēgas nosaukums
- 2048 - privātās atslēgas garums bitos (lūdzu, skatiet brīdinājumus)
- Saglabājiet šo sertifikātu un paroli drošā vietā.
2. solis. Izveidojiet sertifikāta parakstīšanas pieprasījumu
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Izskaidrotās iespējas:
- req - izveido parakstīšanas pieprasījumu
- - daudzpusīga - parāda detalizētu informāciju par pieprasījumu tā izveides laikā (pēc izvēles)
- -jauns - izveido jaunu pieprasījumu
- -key server.apache.key - privātā atslēga, kuru tikko izveidojāt iepriekš.
- -out server.apache.csr - izveidotā parakstīšanas pieprasījuma faila nosaukums
- sha256 - šifrēšanas algoritms, ko izmantot pieprasījumu parakstīšanai (ja nezināt, kas tas ir, nemainiet to. Mainiet to tikai tad, ja zināt, ko darāt)
3. solis. Izmantojiet savu CA sertifikātu, lai parakstītu jauno atslēgu
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Izskaidrotās iespējas:
- ca - ielādē sertifikātu iestādes moduli
- -out server.apache.pem - faila nosaukums parakstītajam sertifikātam
- -keyfile server. CA.key - CA sertifikāta faila nosaukums, kas parakstīs pieprasījumu
- -infiles server.apache.csr - sertifikāta parakstīšanas pieprasījuma faila nosaukums
4. solis. Aizpildiet informāciju, cik vien iespējams:
-
Valsts nosaukums (divu burtu kods) [ĀS]:
ASV
-
Štata vai provinces nosaukums (pilns nosaukums) [dažas valstis]:
CA
-
Vietas nosaukums (piemēram, pilsēta) :
Silikona ieleja
-
Organizācijas nosaukums (piemēram, uzņēmums) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organizācijas vienības nosaukums (piemēram, sadaļa) :
-
Parastais nosaukums (piemēram, servera FQDN vai JŪSU vārds) :
-
Epasta adrese :
5. darbība. Saglabājiet savas privātās atslēgas kopiju citā vietā
Izveidojiet privātu atslēgu bez paroles, lai Apache neprasītu ievadīt paroli:
-
openssl rsa -serverī.apache.key -izver server.apache.unsecured.key
-
Izskaidrotās iespējas:
- rsa - palaiž RSA šifrēšanas programmu
- -in server.apache.key - atslēgas nosaukums, kuru vēlaties konvertēt.
- -out server.apache.unsecured.key - jaunās nenodrošinātās atslēgas faila nosaukums
6. solis. Izmantojiet iegūto failu server.apache.pem kopā ar privāto atslēgu, kuru ģenerējāt 1. darbībā, lai konfigurētu savu apache2.conf failu
3. daļa no 4: Lietotāja sertifikāta izveide autentifikācijai
1. solis. Izpildiet visas darbības, kas norādītas sadaļā _SLS sertifikātu izveide Apache_
2. solis. Pārvērst savu parakstīto sertifikātu par PKCS12
openssl pkcs12 -eksportēt -lietotāja_cert.pem -inkey lietotāja_privāts_taustiņš.pem -iz lietotāja_cert.p12
4. daļa no 4: S/MIME e-pasta sertifikātu izveide
1. darbība. Izveidojiet privātu atslēgu
2048
2. solis. Izveidojiet sertifikāta parakstīšanas pieprasījumu
openssl req -new -key private_email.key -out private_email.csr
3. solis. Izmantojiet savu CA sertifikātu, lai parakstītu jauno atslēgu
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Solis 4. Pārveidojiet sertifikātu uz PKCS12
openssl pkcs12 -eksports -privātā e -pastā.crt -inkey private_email.key -out private_email.p12
5. darbība. Izveidojiet publiskās atslēgas sertifikātu izplatīšanai
openssl pkcs12 -export -out public_cert.p12 -privātā_pasts.pem -klubi -nokeys -nosaukums "WikiHow publiskā atslēga"
Padomi
Jūs varat mainīt PEM atslēgu saturu, izdodot šādu komandu: openssl x509 -noout -text -in certificate.pem
Brīdinājumi
- 1024 bitu atslēgas tiek uzskatītas par novecojušām. 2048 bitu atslēgas tiek uzskatītas par drošām lietotāju sertifikātiem līdz 2030. gadam, bet tiek uzskatītas par nepietiekamām saknes sertifikātiem. Veidojot sertifikātus, ņemiet vērā šīs ievainojamības.
- Pēc noklusējuma lielākajā daļā mūsdienu pārlūkprogrammu tiks parādīts brīdinājums "Neuzticams sertifikāts", kad kāds apmeklē jūsu vietni. Ir bijušas daudz diskusiju par šo brīdinājumu formulējumu, jo netehniski lietotāji var tikt pieķerti nejauši. Bieži vien vislabāk ir izmantot galveno iestādi, lai lietotāji nesaņemtu brīdinājumus.