Az SSL -tanúsítvány beszerzése bármelyik fő hitelesítésszolgáltatótól (CA) akár 100 dollárt is elérhet. A keverékhez adjunk hozzá olyan híreket, amelyek azt jelzik, hogy nem minden megalapozott hitelesítésszolgáltató bízhat meg 100% -ban, és dönthet úgy, hogy megkerüli a bizonytalanságot, és törli a költségeket azzal, hogy saját tanúsító hatósága.
Lépések
1. rész a 4 -ből: CA -tanúsítvány létrehozása
1. lépés. Generálja a CA privát kulcsát a következő parancs kiadásával
-
openssl genrsa -des3 -out server. CA.key 2048
-
A lehetőségek magyarázata
- openssl - a szoftver neve
- genrsa - új privát kulcsot hoz létre
- -des3 - a kulcs titkosítása a DES titkosítással
- -out server. CA.key - az új kulcs neve
- 2048 - a privát kulcs hossza bitben (lásd a figyelmeztetéseket)
- Tárolja ezt a tanúsítványt és a jelszót biztonságos helyen.
2. lépés. Hozzon létre tanúsítvány -aláírási kérelmet
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
A lehetőségek magyarázata:
- req - Létrehoz egy aláírási kérelmet
- -verbose - megjeleníti a kérés részleteit a létrehozásakor (nem kötelező)
- -new - új kérést hoz létre
- -kulcsszerver. CA.key - A fent létrehozott privát kulcs.
- -out server. CA.csr - A létrehozandó aláírási kérelem fájlneve
- sha256 - A kérések aláírására használt titkosítási algoritmus (ha nem tudja, mi ez, ne változtassa meg. Csak akkor változtassa meg, ha tudja, mit csinál)
3. Töltse ki az információkat, amennyire csak lehetséges
-
Ország neve (kétbetűs kód) [AU]:
MINKET
-
Állam vagy tartomány neve (teljes név) [Néhány állam]:
CA
-
Helység neve (pl. Város) :
Szilícium-völgy
-
Szervezet neve (pl. Cég) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Szervezeti egység neve (pl. Szakasz) :
-
Általános név (pl. Szerver FQDN vagy ÖN neve) :
-
Email cím :
4. lépés. Ön írja alá a tanúsítványt:
-
openssl ca -extensions v3_ca -out server. CA -sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
A lehetőségek magyarázata:
- ca - Betölti a Hitelesítésszolgáltató modult
- -extension v3_ca -Betölti a v3_ca kiterjesztést, amely kötelező a modern böngészők használatához
- -out server. CA -sign.crt -Az új aláírt kulcs neve
- -keyfile server. CA.key - Az 1. lépésben létrehozott privát kulcs
- -verbose - megjeleníti a kérés részleteit a létrehozásakor (nem kötelező)
- -selfsign - Azt mondja az openssl -nek, hogy ugyanazt a kulcsot használja a kérelem aláírásához
- -md sha256 - Az üzenet titkosítási algoritmusa. (Ha nem tudja, mi ez, ne változtassa meg. Csak akkor változtassa meg, ha tudja, mit csinál)
- -enddate 330630235959Z - A tanúsítvány befejezési dátuma. A jelölés YYMMDDHHMMSSZ, ahol Z GMT -ben van, más néven "Zulu" idő.
- -infiles server. CA.csr - az aláírási kérési fájl, amelyet a fenti lépésben hozott létre.
5. lépés Ellenőrizze a CA -tanúsítványt
- openssl x509 -noout -text -szerver. CA.crt
-
A lehetőségek magyarázata:
- x509 - Betölti az x509 modult az aláírt tanúsítványok ellenőrzéséhez.
- -noout - Ne adja ki a kódolt szöveget
- -text - az információ megjelenítése a képernyőn
- -in server. CA.crt - Töltse be az aláírt tanúsítványt
- A server. CA.crt fájl bárki számára terjeszthető, aki az Ön webhelyét használja, vagy az aláíráskor tervezett tanúsítványokat használja.
2. rész a 4 -ből: SSL -tanúsítványok létrehozása egy szolgáltatáshoz, például Apache
1. Létrehoz egy privát kulcsot
-
openssl genrsa -des3 -out server.apache.key 2048
-
A lehetőségek magyarázata:
- openssl - a szoftver neve
- genrsa - új privát kulcsot hoz létre
- -des3 - a kulcs titkosítása a DES titkosítással
- -out server.apache.key - az új kulcs neve
- 2048 - a privát kulcs hossza bitben (lásd a figyelmeztetéseket)
- Tárolja ezt a tanúsítványt és a jelszót biztonságos helyen.
2. lépés. Hozzon létre tanúsítvány -aláírási kérelmet
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
A lehetőségek magyarázata:
- req - Létrehoz egy aláírási kérelmet
- -verbose - megjeleníti a kérés részleteit a létrehozásakor (nem kötelező)
- -new - új kérést hoz létre
- -key server.apache.key - A fent létrehozott privát kulcs.
- -out server.apache.csr - A létrehozandó aláírási kérelem fájlneve
- sha256 - A kérések aláírására használt titkosítási algoritmus (ha nem tudja, mi ez, ne változtassa meg. Csak akkor változtassa meg, ha tudja, mit csinál)
Lépés 3. Használja a CA -tanúsítványt az új kulcs aláírásához
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
A lehetőségek magyarázata:
- ca - Betölti a Hitelesítésszolgáltató modult
- -out server.apache.pem - A fájl neve az aláírt tanúsítvány
- -keyfile server. CA.key - A kérést aláíró CA -tanúsítvány fájlneve
- -infiles server.apache.csr - A tanúsítvány -aláírási kérelem fájlneve
4. lépés Töltse ki az információkat, amennyire csak lehetséges:
-
Ország neve (kétbetűs kód) [AU]:
MINKET
-
Állam vagy tartomány neve (teljes név) [Néhány állam]:
CA
-
Helység neve (pl. Város) :
Szilícium-völgy
-
Szervezet neve (pl. Cég) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Szervezeti egység neve (pl. Szakasz) :
-
Általános név (pl. Szerver FQDN vagy ÖN neve) :
-
Email cím :
5. lépés. Mentse el privát kulcsának másolatát egy másik helyre
Hozzon létre privát kulcsot jelszó nélkül, hogy az Apache ne kérjen jelszót:
-
openssl rsa -szerver.apache.key -szerver.apache.unsecured.key
-
A lehetőségek magyarázata:
- rsa - Futtatja az RSA titkosító programot
- -in server.apache.key - A konvertálni kívánt kulcsnév.
- -out server.apache.unsecured.key - Az új, nem biztonságos kulcs fájlneve
6. lépés. Az apache2.conf fájl konfigurálásához használja a kapott server.apache.pem fájlt az 1. lépésben létrehozott privát kulccsal együtt
3. rész a 4 -ből: Felhasználói tanúsítvány létrehozása hitelesítéshez
1. lépés. Kövesse az _Leírás SSL -tanúsítványok létrehozása az Apache számára című fejezet összes lépését
2. lépés: Az aláírt tanúsítványt konvertálja PKCS12 -re
openssl pkcs12 -export -user_cert.pem -kulcs user_private_key.pem -out user_cert.p12
4. rész a 4-ből: S/MIME e-mail tanúsítványok létrehozása
1. Létrehoz egy privát kulcsot
2048
2. lépés. Hozzon létre tanúsítvány -aláírási kérelmet
openssl req -new -key private_email.key -out private_email.csr
Lépés 3. Használja a CA tanúsítványt az új kulcs aláírásához
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
4. lépés: Konvertálja a tanúsítványt PKCS12 -re
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
5. lépés: Nyilvános kulcs tanúsítvány létrehozása a terjesztéshez
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow's Public Key"
Tippek
A PEM -kulcsok tartalmát a következő parancs kiadásával módosíthatja: openssl x509 -noout -text -in certificate.pem
Figyelmeztetések
- Az 1024 bites kulcsokat elavultnak tekintik. A 2048 bites kulcsok biztonságosnak tekinthetők a felhasználói tanúsítványok számára 2030-ig, de gyökértanúsítványoknál nem. Vegye figyelembe ezeket a biztonsági réseket a tanúsítványok létrehozásakor.
- Alapértelmezés szerint a legtöbb modern böngésző "Megbízhatatlan tanúsítvány" figyelmeztetést jelenít meg, amikor valaki felkeresi webhelyét. Sok vita folyt ezeknek a figyelmeztetéseknek a megfogalmazásáról, mivel a nem technikai jellegű felhasználókat is el lehet érni. Gyakran a legjobb, ha nagy hatóságot használ, hogy a felhasználók ne kapják meg a figyelmeztetéseket.