Kā izveidot pašparakstītu sertifikātu, izmantojot OpenSSL

Kā izveidot pašparakstītu sertifikātu, izmantojot OpenSSL
Tādi lasītāji kā jūs palīdz atbalstīt MUO. Veicot pirkumu, izmantojot saites mūsu vietnē, mēs varam nopelnīt filiāles komisiju. Lasīt vairāk.

SSL/TLS sertifikāti ir būtiski jūsu tīmekļa lietojumprogrammas vai servera aizsardzībai. Lai gan vairākas uzticamas sertifikātu iestādes nodrošina SSL/TLS sertifikātus par maksu, ir iespējams arī ģenerēt pašparakstītu sertifikātu, izmantojot OpenSSL. Pat ja pašparakstītiem sertifikātiem nav uzticamas iestādes apstiprinājuma, tie joprojām var šifrēt jūsu tīmekļa trafiku. Tātad, kā jūs varat izmantot OpenSSL, lai savai vietnei vai serverim ģenerētu pašparakstītu sertifikātu?





DIENAS VIDEO MAKEUSEOF RITINĀT, LAI TURPINĀTU AR SATURU

Kā instalēt OpenSSL

OpenSSL ir atvērtā pirmkoda programmatūra. Bet, ja jums nav programmēšanas pieredzes un jūs uztraucaties par veidošanas procesiem, tam ir nedaudz tehniska iestatīšana. Lai no tā izvairītos, varat lejupielādēt OpenSSL koda jaunāko versiju, kas ir pilnībā kompilēta un gatava instalēšanai, no slproweb vietne .



Šeit atlasiet jaunākās OpenSSL versijas MSI paplašinājumu, kas piemērots jūsu sistēmai.





Ekrānuzņēmums no slproweb vietnes OpenSSL lejupielādei

Piemēram, apsveriet OpenSSL at D:\OpenSSL-Win64 . Jūs varat to mainīt. Ja instalēšana ir pabeigta, atveriet PowerShell kā administratoru un dodieties uz apakšmapi ar nosaukumu atkritumu tvertne mapē, kurā instalējāt OpenSSL. Lai to izdarītu, izmantojiet šādu komandu:

ko var nopirkt ar itunes dāvanu karti? 
 cd 'D:\OpenSSL-Win64\bin'

Tagad jums ir piekļuve openssl.exe un var to palaist, kā vien vēlaties.



Palaižot versiju komandu, lai redzētu, vai openssl ir instalēts

Ģenerējiet savu privāto atslēgu, izmantojot OpenSSL

Lai izveidotu pašparakstītu sertifikātu, jums būs nepieciešama privātā atslēga. Tajā pašā bin mapē varat izveidot šo privāto atslēgu, ievadot šo komandu programmā PowerShell, kad esat atvēris kā administrators.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Šī komanda ģenerēs 2048 bitu garu, 3DES šifrētu RSA privāto atslēgu, izmantojot OpenSSL. OpenSSL lūgs ievadīt paroli. Jums vajadzētu izmantot a spēcīga un neaizmirstama parole . Divreiz ievadot vienu un to pašu paroli, jūs būsiet veiksmīgi ģenerējis savu RSA privāto atslēgu.



RSA atslēgas ģenerēšanai izmantotās komandas izvade

Jūs varat atrast savu privāto RSA atslēgu ar nosaukumu myPrivateKey.key .

Kā izveidot CSR failu, izmantojot OpenSSL

Ar izveidoto privāto atslēgu vien nepietiks. Turklāt, lai izveidotu pašparakstītu sertifikātu, ir nepieciešams CSR fails. Lai izveidotu šo CSR failu, programmā PowerShell jāievada jauna komanda:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL arī prasīs ievadīto paroli, lai šeit ģenerētu privāto atslēgu. Tas turpmāk pieprasīs jūsu juridisko un personisko informāciju. Esiet uzmanīgi, ievadot šo informāciju pareizi.

xbox one kontrolieris netiks savienots ar datoru
CSR faila ģenerēšanai izmantotās komandas izvade

Turklāt visas līdz šim veiktās darbības ir iespējams veikt ar vienu komandrindu. Ja izmantojat tālāk norādīto komandu, varat vienlaikus ģenerēt gan savu privāto RSA atslēgu, gan CSR failu:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Komandas izvade, ko izmanto, lai vienā piegājienā izveidotu RSA un CSR failus

Tagad jūs varēsit redzēt failu ar nosaukumu myCertRequest.csr attiecīgajā direktorijā. Šajā jūsu izveidotajā CSR failā ir ietverta informācija par:

  • Iestāde, kas pieprasa sertifikātu.
  • Parastais nosaukums (t.i., domēna nosaukums).
  • Publiskā atslēga (šifrēšanas nolūkiem).

Jūsu izveidotie CSR faili ir jāpārskata un jāapstiprina noteiktām iestādēm. Lai to izdarītu, CSR fails ir jānosūta tieši sertifikācijas iestādei vai citām starpniecības iestādēm.

Šīs iestādes un brokeru mājas pārbauda, ​​vai jūsu sniegtā informācija ir pareiza, atkarībā no vēlamā sertifikāta veida. Iespējams, ka daži dokumenti ir jānosūta arī bezsaistē (fakss, pasts utt.), lai pierādītu, vai informācija ir pareiza.

Sertifikāta sagatavošana, ko veic sertifikācijas iestāde

Nosūtot izveidoto CSR failu derīgai sertifikācijas iestādei, sertifikācijas iestāde paraksta failu un nosūta sertifikātu pieprasītājai iestādei vai personai. To darot, sertifikācijas iestāde (pazīstama arī kā CA) arī izveido PEM failu no CSR un RSA failiem. PEM fails ir pēdējais fails, kas nepieciešams pašparakstītam sertifikātam. Šie posmi to nodrošina SSL sertifikāti joprojām ir sakārtoti, uzticami un droši .

Varat arī pats izveidot PEM failu, izmantojot OpenSSL. Tomēr tas var radīt potenciālu risku jūsu sertifikāta drošībai, jo tā autentiskums vai derīgums nav skaidrs. Turklāt tas, ka jūsu sertifikātu nevar pārbaudīt, dažās lietojumprogrammās un vidēs var nedarboties. Tātad šim pašparakstīta sertifikāta piemēram mēs varam izmantot viltotu PEM failu, taču, protams, tas nav iespējams reālajā pasaulē.

Pagaidām iedomājieties PEM failu ar nosaukumu myPemKey.pem nāk no oficiālas sertifikācijas iestādes. Varat izmantot šo komandu, lai izveidotu sev PEM failu:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Ja jums būtu šāds fails, komanda, kas jāizmanto pašparakstītam sertifikātam, būtu:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Šī komanda nozīmē, ka CSR fails ir parakstīts ar privāto atslēgu ar nosaukumu myPemKey.pem , derīga 365 dienas. Rezultātā jūs izveidojat sertifikāta failu ar nosaukumu mySignedCert.cer .

Attēls, kurā mapē pastāv pašparakstīts sertifikāts

Pašparakstīta sertifikāta informācija

Varat izmantot šo komandu, lai pārbaudītu informāciju par izveidoto pašparakstīto sertifikātu:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Tas parādīs visu sertifikātā ietverto informāciju. Ir iespējams redzēt daudz informācijas, piemēram, uzņēmuma vai personas informāciju, kā arī sertifikātā izmantotos algoritmus.

Ko darīt, ja sertifikācijas iestāde nav parakstījusi pašparakstītus sertifikātus?

Ir svarīgi pārbaudīt izveidotos pašparakstītos sertifikātus un apstiprināt, ka tie ir droši. Parasti to dara trešās puses sertifikātu nodrošinātājs (t.i., CA). Ja jums nav sertifikāta, ko parakstījusi un apstiprinājusi trešās puses sertifikātu iestāde, un jūs izmantojat šo neapstiprināto sertifikātu, radīsies dažas drošības problēmas.

Vai MacBook Pro var iegūt vīrusu?

Hakeri var izmantot jūsu pašparakstīto sertifikātu, lai izveidotu, piemēram, viltotu vietnes kopiju. Tas ļauj uzbrucējam nozagt lietotāju informāciju. Viņi var arī iegūt jūsu lietotāju lietotājvārdus, paroles vai citu sensitīvu informāciju.

Lai nodrošinātu lietotāju drošību, vietnēm un citiem pakalpojumiem parasti ir jāizmanto sertifikāti, kurus faktiski ir sertificējusi CA. Tas nodrošina pārliecību, ka lietotāja dati ir šifrēti un tiek izveidots savienojums ar pareizo serveri.

Pašparakstītu sertifikātu izveide operētājsistēmā Windows

Kā redzat, pašparakstīta sertifikāta izveide operētājsistēmā Windows ar OpenSSL ir diezgan vienkārša. Bet paturiet prātā, ka jums būs nepieciešams arī sertifikācijas iestāžu apstiprinājums.

Tomēr šāda sertifikāta izveide parāda, ka jūs nopietni uztverat lietotāju drošību, kas nozīmē, ka viņi vairāk uzticēsies jums, jūsu vietnei un jūsu vispārējam zīmolam.