Jei gausite SSL sertifikatą iš bet kurios iš pagrindinių sertifikavimo institucijų (CA), tai gali kainuoti 100 USD ir daugiau. Prie mišinio pridėkite naujienų istorijas, rodančias, kad ne visomis nusistovėjusiomis CA galima pasitikėti 100% laiko, ir jūs galite nuspręsti apeiti netikrumą ir ištrinti išlaidas, būdami savo sertifikavimo institucija.
Žingsniai
1 dalis iš 4: CA sertifikato kūrimas
Žingsnis 1. Sukurkite savo CA privatų raktą išleisdami šią komandą
-
20.48. opensl genrsa -des3 -out server. CA.key
-
Variantai paaiškinti
- openssl - programinės įrangos pavadinimas
- genrsa - sukuria naują privatų raktą
- -des3 - užšifruoti raktą naudojant DES šifrą
- -out server. CA.key - naujo rakto pavadinimas
- 2048 - privataus rakto ilgis baitais (žr. Įspėjimus)
- Saugokite šį sertifikatą ir slaptažodį saugioje vietoje.
2 veiksmas. Sukurkite sertifikato pasirašymo užklausą
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Parinktys paaiškintos:
- req - sukuria pasirašymo užklausą
- -verbose - rodo išsamią informaciją apie užklausą, kai ji kuriama (neprivaloma)
- -new - sukuria naują užklausą
- -key server. CA.key - privatus raktas, kurį ką tik sukūrėte aukščiau.
- -out server. CA.csr - kuriamos pasirašymo užklausos failo pavadinimas
- sha256 - šifravimo algoritmas, naudojamas pasirašant užklausas (jei nežinote, kas tai yra, nekeiskite to. Turėtumėte tai pakeisti tik žinodami, ką darote)
Žingsnis 3. Kiek įmanoma užpildykite informaciją
-
Šalies pavadinimas (2 raidžių kodas) [AS]:
JAV
-
Valstijos ar provincijos pavadinimas (visas vardas) [kai kuri valstybė]:
CA
-
Vietos pavadinimas (pvz., Miestas) :
Silicio slėnis
-
Organizacijos pavadinimas (pvz., Įmonė) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organizacijos padalinio pavadinimas (pvz., Skyrius) :
-
Bendras pavadinimas (pvz., Serverio FQDN arba JŪSŲ vardas) :
-
Elektroninio pašto adresas :
4 žingsnis. Pasirašykite savo sertifikatą:
-
openssl ca -extensions v3_ca -out server. CA -sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Parinktys paaiškintos:
- ca - Įkelia sertifikavimo institucijos modulį
- -Extension v3_ca -Įkeliamas „v3_ca“plėtinys, būtinas norint naudoti šiuolaikinėse naršyklėse
- -out server. CA -pasirašytas.crt -jūsų naujo pasirašyto rakto pavadinimas
- -keyfile server. CA.key - privatus raktas, kurį sukūrėte atlikdami 1 veiksmą
- -verbose - rodo išsamią informaciją apie užklausą, kai ji kuriama (neprivaloma)
- -selfsign - nurodo openssl, kad prašymui pasirašyti naudojate tą patį raktą
- -md sha256 - šifravimo algoritmas, naudojamas pranešimui. (Jei nežinote, kas tai yra, nekeiskite to. Turėtumėte tai pakeisti tik žinodami, ką darote)
- -enddate 330630235959Z - sertifikato pabaigos data. Žymėjimas yra YYMMDDHHMMSSZ, kur Z yra GMT, kartais vadinamas „Zulu“laiku.
- -infiles server. CA.csr - pasirašymo užklausos failas, kurį sukūrėte aukščiau.
Žingsnis 5. Patikrinkite savo CA sertifikatą
- openssl x509 -noout -text -in server. CA.crt
-
Parinktys paaiškintos:
- x509 - įkelia x509 modulį patikrinti pasirašytus sertifikatus.
- -noout - neišveskite užkoduoto teksto
- -tekstas - išveskite informaciją ekrane
- -in server. CA.crt - Įkelkite pasirašytą sertifikatą
- Server. CA.crt failas gali būti platinamas visiems, kurie naudosis jūsų svetaine arba naudos sertifikatus, kuriuos planuojate pasirašyti.
2 dalis iš 4: SSL sertifikatų kūrimas paslaugai, pvz., „Apache“
Žingsnis 1. Sukurkite privatų raktą
-
2048 m
-
Parinktys paaiškintos:
- openssl - programinės įrangos pavadinimas
- genrsa - sukuria naują privatų raktą
- -des3 - užšifruoti raktą naudojant DES šifrą
- -out server.apache.key - naujo rakto pavadinimas
- 2048 - privataus rakto ilgis baitais (žr. Įspėjimus)
- Saugokite šį sertifikatą ir slaptažodį saugioje vietoje.
2 veiksmas. Sukurkite sertifikato pasirašymo užklausą
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Parinktys paaiškintos:
- req - sukuria pasirašymo užklausą
- -verbose - rodo išsamią informaciją apie užklausą, kai ji kuriama (neprivaloma)
- -new - sukuria naują užklausą
- -key server.apache.key - privatus raktas, kurį ką tik sukūrėte aukščiau.
- -out server.apache.csr - Kuriamos pasirašymo užklausos failo pavadinimas
- sha256 - šifravimo algoritmas, naudojamas pasirašant užklausas (jei nežinote, kas tai yra, nekeiskite to. Turėtumėte tai pakeisti tik žinodami, ką darote)
Žingsnis 3. Naudokite savo CA sertifikatą, kad pasirašytumėte naują raktą
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Parinktys paaiškintos:
- ca - Įkelia sertifikavimo institucijos modulį
- -out server.apache.pem - Failo pavadinimas, pasirašytas sertifikatas
- -keyfile server. CA.key - CA sertifikato, kuris pasirašys užklausą, failo pavadinimas
- -infiles server.apache.csr - Sertifikato pasirašymo užklausos failo pavadinimas
Žingsnis 4. Kiek įmanoma užpildykite informaciją:
-
Šalies pavadinimas (2 raidžių kodas) [AS]:
JAV
-
Valstijos ar provincijos pavadinimas (visas vardas) [kai kuri valstybė]:
CA
-
Vietos pavadinimas (pvz., Miestas) :
Silicio slėnis
-
Organizacijos pavadinimas (pvz., Įmonė) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organizacijos padalinio pavadinimas (pvz., Skyrius) :
-
Bendras pavadinimas (pvz., Serverio FQDN arba JŪSŲ vardas) :
-
Elektroninio pašto adresas :
Žingsnis 5. Išsaugokite privataus rakto kopiją kitoje vietoje
Sukurkite privatų raktą be slaptažodžio, kad „Apache“neprašytų jūsų slaptažodžio:
-
openssl rsa -serveryje.apache.key -out server.apache.unsecured.key
-
Parinktys paaiškintos:
- rsa - paleidžia RSA šifravimo programą
- -in server.apache.key - rakto pavadinimas, kurį norite konvertuoti.
- -out server.apache.unsecured.key - naujo neapsaugoto rakto failo pavadinimas
6. Norėdami sukonfigūruoti apache2.conf failą, naudokite gautą failą server.apache.pem kartu su privačiu raktu, kurį sukūrėte atlikdami 1 veiksmą
3 dalis iš 4: Vartotojo sertifikato autentifikavimui sukūrimas
1 veiksmas. Atlikite visus veiksmus, nurodytus _Sparato SSL sertifikatų kūrimas „Apache“
Žingsnis 2. Konvertuokite pasirašytą sertifikatą į PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
4 dalis iš 4: S/MIME el. Pašto sertifikatų kūrimas
Žingsnis 1. Sukurkite privatų raktą
2048 m
Žingsnis 2. Sukurkite sertifikato pasirašymo užklausą
openssl req -new -key private_email.key -out private_email.csr
Žingsnis 3. Naudokite savo CA sertifikatą, kad pasirašytumėte naują raktą
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Žingsnis 4. Konvertuokite sertifikatą į PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
5 veiksmas. Sukurkite viešojo rakto sertifikatą platinimui
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow's Public Key"
Patarimai
Galite keisti PEM raktų turinį išleisdami šią komandą: openssl x509 -noout -text -in certificate.pem
Įspėjimai
- 1024 bitų raktai laikomi pasenusiais. Laikoma, kad 2048 bitų raktai yra saugūs naudotojų sertifikatams iki 2030 m., Tačiau laikomi nepakankamais pagrindiniams sertifikatams. Kurdami sertifikatus, atsižvelkite į šiuos pažeidžiamumus.
- Pagal numatytuosius nustatymus dauguma šiuolaikinių naršyklių parodys įspėjimą „Nepatikimas sertifikatas“, kai kas nors apsilanko jūsų svetainėje. Buvo daug diskutuojama dėl šių įspėjimų formuluotės, nes netechniniai naudotojai gali būti užklupti. Dažnai geriausia naudoti didelę instituciją, kad vartotojai nesulauktų įspėjimų.