SSL -sertifikaadi hankimine ükskõik milliselt suurelt sertifikaadiasutuselt võib maksta 100 dollarit või rohkem. Lisage segule uudislugusid, mis näivad viitavat sellele, et kõiki väljakujunenud CA -sid ei saa 100% ajast usaldada ning te võite otsustada ebakindlusest mööda hiilida ja kulud kustutada, olles ise oma sertifikaadiasutus.
Sammud
Osa 1: 4: CA sertifikaadi loomine
Samm 1. Looge oma CA privaatvõti, väljastades järgmise käsu
-
openssl genrsa -des3 -out server. CA.key 2048
-
Valikud on selgitatud
- openssl - tarkvara nimi
- genrsa - loob uue privaatvõtme
- -des3 - võtme krüptimine DES -šifri abil
- -out server. CA.key - teie uue võtme nimi
- 2048 - privaatvõtme pikkus bitides (vaadake hoiatusi)
- Hoidke see sertifikaat ja parool turvalises kohas.
Samm 2. Looge sertifikaadi allkirjastamise taotlus
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Valikud on selgitatud:
- req - loob allkirjastamistaotluse
- -verbose - näitab üksikasju taotluse kohta selle loomisel (valikuline)
- - uus - loob uue taotluse
- -key server. CA.key - privaatvõti, mille just ülal lõite.
- -out server. CA.csr - loodava allkirjastamistaotluse failinimi
- sha256 - taotluste allkirjastamiseks kasutatav krüptimisalgoritm (kui te ei tea, mis see on, ärge seda muutke. Muutke seda ainult siis, kui teate, mida teete)
Samm 3. Täitke teave nii palju kui võimalik
-
Riigi nimi (kahetäheline kood) [AU]:
USA
-
Osariigi või provintsi nimi (täisnimi) [mõni osariik]:
CA
-
Asukoha nimi (nt linn) :
Silicon Valley
-
Organisatsiooni nimi (nt ettevõte) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organisatsiooniüksuse nimi (nt jaotis) :
-
Üldnimi (nt serveri FQDN või SINU nimi) :
-
E-posti aadress :
Samm 4. Allkirjastage oma sertifikaat ise:
-
openssl ca -extensions v3_ca -out server. CA -sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Valikud on selgitatud:
- ca - Laeb sertifikaadi väljastamise mooduli
- -extension v3_ca -laadib laienduse v3_ca, mis on kaasaegsetes brauserites kasutamiseks kohustuslik
- -out server. CA -sign.crt -teie uue allkirjastatud võtme nimi
- -keyfile server. CA.key - privaatvõti, mille lõite 1. etapis
- -verbose - näitab üksikasju taotluse kohta selle loomisel (valikuline)
- -selfsign - teatab openssl -le, et kasutate päringu allkirjastamiseks sama võtit
- -md sha256 - sõnumi jaoks kasutatav krüptimisalgoritm. (Kui te ei tea, mis see on, ärge seda muutke. Muutke seda ainult siis, kui teate, mida teete)
- -enddate 330630235959Z - sertifikaadi lõppkuupäev. Märge on YYMMDDHHMMSSZ, kus Z on GMT, mõnikord tuntud kui "Zulu" aeg.
- -infiles server. CA.csr - allkirjastamise taotluse fail, mille lõite ülaltoodud sammu.
Samm 5. Kontrollige oma CA sertifikaati
- openssl x509 -noout -text -serveris. CA.crt
-
Valikud on selgitatud:
- x509 - laadib x509 mooduli, et kontrollida allkirjastatud sertifikaate.
- -noout - Ärge väljastage kodeeritud teksti
- -tekst - teabe kuvamine ekraanil
- -in server. CA.crt - laadige alla allkirjastatud sertifikaat
- Faili server. CA.crt saab levitada kõigile, kes kasutavad teie veebisaiti või kasutavad sertifikaate, mida kavatsete allkirjastada.
Osa 2/4: SSL -sertifikaatide loomine teenusele, näiteks Apache
Samm 1. Looge privaatvõti
-
2048
-
Valikud on selgitatud:
- openssl - tarkvara nimi
- genrsa - loob uue privaatvõtme
- -des3 - võtme krüptimine DES -šifri abil
- -out server.apache.key - teie uue võtme nimi
- 2048 - privaatvõtme pikkus bitides (vaadake hoiatusi)
- Hoidke see sertifikaat ja parool turvalises kohas.
Samm 2. Looge sertifikaadi allkirjastamise taotlus
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Valikud on selgitatud:
- req - loob allkirjastamistaotluse
- -verbose - näitab üksikasju taotluse kohta selle loomisel (valikuline)
- - uus - loob uue taotluse
- -key server.apache.key - privaatvõti, mille just ülal lõite.
- -out server.apache.csr - loodava allkirjastamistaotluse failinimi
- sha256 - taotluste allkirjastamiseks kasutatav krüptimisalgoritm (kui te ei tea, mis see on, ärge seda muutke. Muutke seda ainult siis, kui teate, mida teete)
Samm 3. Kasutage uue võtme allkirjastamiseks oma CA sertifikaati
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Valikud on selgitatud:
- ca - Laeb sertifikaadi väljastamise mooduli
- -out server.apache.pem - allkirjastatud sertifikaadi failinimi
- -keyfile server. CA.key - päringu allkirjastava CA sertifikaadi failinimi
- -infiles server.apache.csr - sertifikaadi allkirjastamise taotluse failinimi
Samm 4. Täitke teave nii palju kui võimalik:
-
Riigi nimi (kahetäheline kood) [AU]:
USA
-
Osariigi või provintsi nimi (täisnimi) [mõni osariik]:
CA
-
Asukoha nimi (nt linn) :
Silicon Valley
-
Organisatsiooni nimi (nt ettevõte) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organisatsiooniüksuse nimi (nt jaotis) :
-
Üldnimi (nt serveri FQDN või SINU nimi) :
-
E-posti aadress :
Samm 5. Salvestage oma privaatvõtme koopia teise kohta
Looge ilma paroolita privaatvõti, et Apache ei küsiks parooli:
-
openssl rsa -serveris.apache.key -väljaserver.apache.unsecured.key
-
Valikud on selgitatud:
- rsa - Käivitab RSA krüptimisprogrammi
- -in server.apache.key - võtme nimi, mida soovite teisendada.
- -out server.apache.unsecured.key - uue turvavõtme failinimi
Samm 6. Kasutage oma apache2.conf -faili konfigureerimiseks saadud faili server.apache.pem koos 1. sammus loodud privaatvõtmega
Osa 3/4: Kasutaja sertifikaadi loomine autentimiseks
Samm 1. Järgige kõiki samme jaotises _Apache SSL -sertifikaatide loomine_
Samm 2. Teisendage oma allkirjastatud sertifikaat PKCS12 -ks
openssl pkcs12 -eksport -kasutaja_kontsert.pem -võti kasutaja_privaat_võti.pem -väljas kasutaja_sert.p12
Osa 4/4: S/MIME e-posti sertifikaatide loomine
Samm 1. Looge privaatvõti
2048
Samm 2. Looge sertifikaadi allkirjastamise taotlus
openssl req -new -key private_email.key -out private_email.csr
Samm 3. Kasutage uue võtme allkirjastamiseks oma CA sertifikaati
openssl ca -out private_email.pem -võtmefailiserver. CA.key -infiles private_email.csr
Samm 4. Teisendage sertifikaat PKCS12 -ks
openssl pkcs12 -eksport -privaatsel meilil.crt -inkey private_email.key -välja privaatne meil
Samm 5. Looge levitamiseks avaliku võtme sertifikaat
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow's Public Key"
Näpunäiteid
PEM -võtmete sisu saate muuta, väljastades järgmise käsu: openssl x509 -noout -text -in certificate.pem
Hoiatused
- 1024-bitiseid võtmeid peetakse vananenuks. 2048-bitiseid võtmeid peetakse kasutajate sertifikaatide jaoks kuni 2030. aastani turvalisteks, kuid juursertifikaatide puhul ebapiisavaks. Sertifikaatide loomisel kaaluge neid haavatavusi.
- Vaikimisi kuvab enamik kaasaegseid brausereid hoiatust „Usalduseta sertifikaat”, kui keegi teie saiti külastab. Nende hoiatuste sõnastuse üle on palju vaieldud, sest mittetehnilisi kasutajaid võib tabada. Sageli on parem kasutada mõnda suuremat asutust, et kasutajad hoiatusi ei saaks.
-
-