Dobivanje SSL certifikata od bilo kojeg od glavnih tijela za izdavanje certifikata (CA) može koštati 100 USD i više. Dodajte miksu i vijesti koje izgleda da ukazuju na to da se svim uspostavljenim CA -ovima ne može vjerovati 100% vremena, pa ćete možda odlučiti zaobići neizvjesnost i izbrisati troškove tako što ćete biti vlastito tijelo za izdavanje certifikata.
Koraci
1. dio od 4: Kreiranje vašeg CA certifikata
Korak 1. Generirajte privatni ključ vašeg CA izdavanjem sljedeće naredbe
-
openssl genrsa -des3 -out server. CA.key 2048
-
Objašnjene opcije
- openssl - naziv softvera
- genrsa - stvara novi privatni ključ
- -des3 - šifrirajte ključ pomoću DES šifre
- -out server. CA.key - naziv vašeg novog ključa
- 2048 - dužina, u bitovima, privatnog ključa (pogledajte upozorenja)
- Čuvajte ovaj certifikat i lozinku na sigurnom mjestu.
Korak 2. Kreirajte zahtjev za potpisivanje certifikata
-
openssl req -verbose -nov -server -kljuc. CA.key -out server. CA.csr -sha256
-
Objašnjene opcije:
- req - Kreira zahtjev za potpisivanje
- -verbose - prikazuje detalje o zahtjevu dok se stvara (opcionalno)
- -new - stvara novi zahtjev
- -key server. CA.key - Privatni ključ koji ste upravo stvorili gore.
- -out server. CA.csr - Naziv datoteke zahtjeva za potpisivanje koji kreirate
- sha256 - Algoritam šifriranja koji će se koristiti za zahtjeve potpisivanja (Ako ne znate šta je ovo, nemojte ovo mijenjati. Ovo biste trebali promijeniti samo ako znate šta radite)
Korak 3. Popunite podatke što je više moguće
-
Naziv zemlje (kôd od 2 slova) [AU]:
US
-
Naziv države ili pokrajine (pun naziv) [Some-State]:
CA
-
Naziv lokaliteta (npr. Grad) :
Silikonska dolina
-
Naziv organizacije (npr. Kompanija) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Naziv organizacione jedinice (npr. Odjeljak) :
-
Uobičajeno ime (npr. FQDN servera ili VAŠ naziv) :
-
E-mail adresa :
Korak 4. Samopotpišite svoj certifikat:
-
openssl ca -extensions v3_ca -out server. CA -igned.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Objašnjene opcije:
- ca - Učitava modul Izdavača certifikata
- -extension v3_ca -Učitava ekstenziju v3_ca, neophodnu za upotrebu u modernim preglednicima
- -out server. CA -signature.crt -Naziv vašeg novog potpisanog ključa
- -keyfile server. CA.key - Privatni ključ koji ste kreirali u 1. koraku
- -verbose - prikazuje detalje o zahtjevu dok se stvara (opcionalno)
- -selfsign - Kaže openssl -u da koristite isti ključ za potpisivanje zahtjeva
- -md sha256 - Algoritam šifriranja koji se koristi za poruku. (Ako ne znate šta je ovo, nemojte ovo mijenjati. Ovo biste trebali promijeniti samo ako znate šta radite)
- -enddate 330630235959Z - Datum završetka certifikata. Oznaka je YYMMDDHHMMSSZ gdje je Z u GMT -u, ponekad poznato i kao "zulu" vrijeme.
- -infiles server. CA.csr - datoteka zahtjeva za potpisivanje koju ste kreirali u prethodnom koraku.
Korak 5. Pregledajte CA certifikat
- openssl x509 -noout -text -in server. CA.crt
-
Objašnjene opcije:
- x509 - Učitava modul x509 radi pregleda potpisanih certifikata.
- -noout - Nemojte izlaziti kodirani tekst
- -text - ispis informacija na ekranu
- -in server. CA.crt - Učitajte potpisani certifikat
- Datoteka server. CA.crt može se distribuirati svima koji će koristiti vašu web stranicu ili koristiti certifikate koje planirate potpisati.
Dio 2 od 4: Kreiranje SSL certifikata za uslugu, kao što je Apache
Korak 1. Kreirajte privatni ključ
-
openssl genrsa -des3 -out server.apache.key 2048
-
Objašnjene opcije:
- openssl - naziv softvera
- genrsa - stvara novi privatni ključ
- -des3 - šifrirajte ključ pomoću DES šifre
- -out server.apache.key - naziv vašeg novog ključa
- 2048 - dužina, u bitovima, privatnog ključa (pogledajte upozorenja)
- Čuvajte ovaj certifikat i lozinku na sigurnom mjestu.
Korak 2. Kreirajte zahtjev za potpisivanje certifikata
-
openssl req -verbose -novi ključ -server server.apache.key -out server.apache.csr -sha256
-
Objašnjene opcije:
- req - Kreira zahtjev za potpisivanje
- -verbose - prikazuje detalje o zahtjevu dok se stvara (opcionalno)
- -new - stvara novi zahtjev
- -key server.apache.key - Privatni ključ koji ste upravo stvorili gore.
- -out server.apache.csr - Naziv datoteke zahtjeva za potpisivanje koji kreirate
- sha256 - Algoritam šifriranja koji će se koristiti za zahtjeve potpisivanja (Ako ne znate šta je ovo, nemojte ovo mijenjati. Ovo biste trebali promijeniti samo ako znate šta radite)
Korak 3. Koristite svoj CA certifikat za potpisivanje novog ključa
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Objašnjene opcije:
- ca - Učitava modul Izdavača certifikata
- -out server.apache.pem - Ime datoteke potpisani certifikat
- -keyfile server. CA.key - Naziv datoteke CA certifikata koji će potpisati zahtjev
- -infiles server.apache.csr - Naziv datoteke zahtjeva za potpisivanje certifikata
Korak 4. Popunite podatke što je više moguće:
-
Naziv zemlje (kôd od 2 slova) [AU]:
US
-
Naziv države ili pokrajine (pun naziv) [Some-State]:
CA
-
Naziv lokaliteta (npr. Grad) :
Silikonska dolina
-
Naziv organizacije (npr. Kompanija) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Naziv organizacione jedinice (npr. Odjeljak) :
-
Uobičajeni naziv (npr. FQDN servera ili VAŠE ime) :
-
E-mail adresa :
Korak 5. Sačuvajte kopiju svog privatnog ključa na drugom mjestu
Kreirajte privatni ključ bez lozinke da spriječite Apache da vas zatraži lozinku:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Objašnjene opcije:
- rsa - Pokreće RSA program za šifriranje
- -in server.apache.key - Naziv ključa koji želite pretvoriti.
- -out server.apache.unsecured.key - Naziv datoteke novog nezaštićenog ključa
Korak 6. Upotrijebite rezultirajuću datoteku server.apache.pem zajedno s privatnim ključem koji ste generirali u 1. koraku za konfiguriranje vaše datoteke apache2.conf
Dio 3 od 4: Kreiranje korisničkog certifikata za provjeru autentičnosti
Korak 1. Slijedite sve korake u _Stvaranju SSL certifikata za Apache_
Korak 2. Pretvorite svoj potpisani certifikat u PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
Dio 4 od 4: Kreiranje S/MIME certifikata e-pošte
Korak 1. Kreirajte privatni ključ
openssl genrsa -des3 -out private_email.key 2048
Korak 2. Kreirajte zahtjev za potpisivanje certifikata
openssl req -nov -ključ private_email.key -out private_email.csr
Korak 3. Koristite svoj CA certifikat za potpisivanje novog ključa
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Korak 4. Pretvorite certifikat u PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Korak 5. Kreirajte certifikat javnog ključa za distribuciju
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow javni ključ"
Savjeti
Sadržaj PEM ključeva možete mijenjati izdavanjem sljedeće naredbe: openssl x509 -noout -text -in certificate.pem
Upozorenja
- Smatra se da su 1024-bitni ključevi zastarjeli. Smatra se da su 2048-bitni ključevi sigurni za korisničke certifikate do 2030. godine, ali se smatraju nedovoljnima za root certifikate. Uzmite u obzir ove ranjivosti pri kreiranju certifikata.
- Prema zadanim postavkama, većina modernih preglednika prikazat će upozorenje "Nepouzdani certifikat" kada netko posjeti vašu web lokaciju. Mnogo se raspravljalo o tekstu ovih upozorenja jer se netehnički korisnici mogu uhvatiti nespremni. Često je najbolje koristiti glavno ovlaštenje kako korisnici ne bi dobili upozorenja.
-
-