Dobivanje SSL certifikata od bilo kojeg od glavnih tijela za izdavanje certifikata (CA) može pokrenuti 100 USD i više. Dodajte miksu i vijesti koje izgleda da ukazuju na to da se svim uspostavljenim CA -ovima ne može vjerovati 100% vremena pa ćete možda odlučiti zaobići neizvjesnost i izbrisati troškove tako što ćete biti vlastito tijelo za izdavanje certifikata.
Koraci
1. dio od 4: Stvaranje CA certifikata
Korak 1. Generirajte privatni ključ vašeg CA izdavanjem sljedeće naredbe
-
openssl genrsa -des3 -izlazni poslužitelj. CA.ključ 2048
-
Objašnjene opcije
- openssl - naziv softvera
- genrsa - stvara novi privatni ključ
- -des3 - šifrirajte ključ pomoću DES šifre
- -out server. CA.key - naziv vašeg novog ključa
- 2048 - duljina, u bitovima, privatnog ključa (pogledajte upozorenja)
- Pohranite ovaj certifikat i lozinku na sigurno mjesto.
Korak 2. Kreirajte zahtjev za potpisivanje certifikata
-
openssl req -verbose -novi poslužitelj -ključ. CA.key -out poslužitelj. CA.csr -sha256
-
Objašnjene opcije:
- req - Stvara zahtjev za potpisivanje
- -verbose - prikazuje detalje o zahtjevu dok se stvara (nije obavezno)
- -new - stvara novi zahtjev
- -key server. CA.key - Privatni ključ koji ste upravo stvorili gore.
- -out server. CA.csr - Naziv datoteke zahtjeva za potpisivanje koji kreirate
- sha256 - Algoritam šifriranja koji će se koristiti za zahtjeve za potpisivanje (Ako ne znate što je ovo, nemojte to mijenjati. Ovo biste trebali promijeniti samo ako znate što radite)
Korak 3. Ispunite podatke što je više moguće
-
Naziv zemlje (dvoslovni kôd) [AJ]:
NAS
-
Naziv države ili pokrajine (puni naziv) [Some-State]:
CA
-
Naziv lokaliteta (npr. Grad) :
Silicijska dolina
-
Naziv organizacije (npr. Tvrtka) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Naziv organizacijske jedinice (npr. Odjeljak) :
-
Uobičajeni naziv (npr. FQDN poslužitelja ili VAŠ naziv) :
-
Email adresa :
Korak 4. Samopotpišite svoj certifikat:
-
openssl ca -extensions v3_ca -out server. CA -signature.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Objašnjene opcije:
- ca - Učitava modul Izdavatelja certifikata
- -extension v3_ca -Učitava proširenje v3_ca, koje morate imati za upotrebu u modernim preglednicima
- -out server. CA -signature.crt -Naziv vašeg novog potpisanog ključa
- -keyfile server. CA.key - Privatni ključ koji ste stvorili u 1. koraku
- -verbose - prikazuje detalje o zahtjevu dok se stvara (izborno)
- -selfsign - govori openssl -u da koristite isti ključ za potpisivanje zahtjeva
- -md sha256 - Algoritam šifriranja koji se koristi za poruku. (Ako ne znate što je ovo, nemojte ovo mijenjati. Ovo biste trebali promijeniti samo ako znate što radite)
- -enddate 330630235959Z - Datum završetka certifikata. Oznaka je YYMMDDHHMMSSZ gdje je Z u GMT -u, ponekad poznato i kao "zulu" vrijeme.
- -infiles server. CA.csr - datoteka zahtjeva za potpisivanje koju ste stvorili u prethodnom koraku.
Korak 5. Pregledajte CA certifikat
- openssl x509 -noout -text -u poslužitelju. CA.crt
-
Objašnjene opcije:
- x509 - Učitava modul x509 radi pregleda potpisanih certifikata.
- -noout - Nemojte izlaziti kodirani tekst
- -text - ispis informacija na ekranu
- -in server. CA.crt - Učitajte potpisani certifikat
- Datoteka server. CA.crt može se distribuirati svima koji će koristiti vašu web stranicu ili koristiti certifikate koje planirate potpisati.
Dio 2 od 4: Stvaranje SSL certifikata za uslugu, kao što je Apache
Korak 1. Izradite privatni ključ
-
openssl genrsa -des3 -izlazni poslužitelj.apache.key 2048
-
Objašnjene opcije:
- openssl - naziv softvera
- genrsa - stvara novi privatni ključ
- -des3 - šifrirajte ključ pomoću DES šifre
- -out server.apache.key - naziv vašeg novog ključa
- 2048 - duljina, u bitovima, privatnog ključa (pogledajte upozorenja)
- Pohranite ovaj certifikat i lozinku na sigurno mjesto.
Korak 2. Kreirajte zahtjev za potpisivanje certifikata
-
openssl req -verbose -novi poslužitelj -ključ.apache.key -out poslužitelj.apache.csr -sha256
-
Objašnjene opcije:
- req - Stvara zahtjev za potpisivanje
- -verbose - prikazuje detalje o zahtjevu dok se stvara (izborno)
- -new - stvara novi zahtjev
- -key server.apache.key - Privatni ključ koji ste upravo stvorili gore.
- -out server.apache.csr - Naziv datoteke zahtjeva za potpisivanje koji kreirate
- sha256 - Algoritam šifriranja koji će se koristiti za potpisivanje zahtjeva (Ako ne znate što je ovo, nemojte to mijenjati. Ovo biste trebali promijeniti samo ako znate što radite)
Korak 3. Pomoću CA certifikata potpišite novi ključ
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Objašnjene opcije:
- ca - Učitava modul Izdavatelja certifikata
- -out server.apache.pem - naziv datoteke potpisani certifikat
- -keyfile server. CA.key - Naziv datoteke CA certifikata koji će potpisati zahtjev
- -infiles server.apache.csr - Naziv datoteke zahtjeva za potpisivanje certifikata
Korak 4. Ispunite podatke što je više moguće:
-
Naziv zemlje (dvoslovni kôd) [AJ]:
NAS
-
Naziv države ili pokrajine (puni naziv) [Some-State]:
CA
-
Naziv lokaliteta (npr. Grad) :
Silicijska dolina
-
Naziv organizacije (npr. Tvrtka) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Naziv organizacijske jedinice (npr. Odjeljak) :
-
Uobičajeni naziv (npr. FQDN poslužitelja ili VAŠ naziv) :
-
Email adresa :
Korak 5. Spremite kopiju svog privatnog ključa na drugo mjesto
Izradite privatni ključ bez lozinke kako biste spriječili da vas Apache zatraži lozinku:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Objašnjene opcije:
- rsa - Pokreće RSA program za šifriranje
- -in server.apache.key - Naziv ključa koji želite pretvoriti.
- -out server.apache.unsecured.key - Naziv datoteke novog nezaštićenog ključa
Korak 6. Upotrijebite rezultirajuću datoteku server.apache.pem zajedno s privatnim ključem koji ste generirali u 1. koraku za konfiguriranje datoteke apache2.conf
Dio 3 od 4: Izrada korisničkog certifikata za provjeru autentičnosti
Korak 1. Slijedite sve korake u _Stvaranju SSL certifikata za Apache_
Korak 2. Pretvorite svoj potpisani certifikat u PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
Dio 4 od 4: Izrada S/MIME certifikata e-pošte
Korak 1. Izradite privatni ključ
openssl genrsa -des3 -out private_email.key 2048
Korak 2. Izradite zahtjev za potpisivanje certifikata
openssl req -novi -ključ private_email.key -out private_email.csr
Korak 3. Pomoću CA certifikata potpišite novi ključ
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Korak 4. Pretvorite certifikat u PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Korak 5. Izradite certifikat javnog ključa za distribuciju
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHowov javni ključ"
Savjeti
Sadržaj PEM ključeva možete mijenjati izdavanjem sljedeće naredbe: openssl x509 -noout -text -in certificate.pem
Upozorenja
- Smatra se da su 1024-bitni ključevi zastarjeli. 2048-bitni ključevi smatraju se sigurnim za korisničke certifikate do 2030., ali smatraju se nedovoljnima za root certifikate. Uzmite u obzir ove ranjivosti prilikom izrade certifikata.
- Prema zadanim postavkama, većina modernih preglednika prikazat će upozorenje "Nepouzdani certifikat" kada netko posjeti vašu web lokaciju. Mnogo se raspravljalo o tekstu ovih upozorenja jer se netehnički korisnici mogu uhvatiti nespremni. Često je najbolje koristiti glavna ovlaštenja kako korisnici ne bi dobili upozorenja.
