Kuidas luua OpenSSL-iga iseallkirjastatud sertifikaati

Kuidas luua OpenSSL-iga iseallkirjastatud sertifikaati
Teiesugused lugejad aitavad MUO-d toetada. Kui teete ostu meie saidil olevate linkide abil, võime teenida sidusettevõtte komisjonitasu. Loe rohkem.

SSL/TLS-sertifikaadid on teie veebirakenduse või serveri turvalisuse tagamiseks hädavajalikud. Kuigi mitmed usaldusväärsed sertifitseerimisasutused pakuvad SSL/TLS-sertifikaate tasu eest, on OpenSSL-i abil võimalik genereerida ka iseallkirjastatud sertifikaat. Kuigi iseallkirjastatud sertifikaatidel puudub usaldusväärse asutuse kinnitus, saavad need siiski teie veebiliikluse krüptida. Niisiis, kuidas saate kasutada OpenSSL-i oma veebisaidi või serveri jaoks iseallkirjastatud sertifikaadi loomiseks?





PÄEVA VIDEO MAKKEUSE SISUGA JÄTKAMISEKS KERIMISE

OpenSSL-i installimine

OpenSSL on avatud lähtekoodiga tarkvara. Kuid kui teil pole programmeerimise tausta ja olete mures ehitusprotsesside pärast, on sellel veidi tehniline seadistus. Selle vältimiseks saate veebisaidilt alla laadida OpenSSL-i koodi uusima versiooni, mis on täielikult kompileeritud ja valmis installimiseks. slproweb sait .



Siin valige oma süsteemile sobiv OpenSSL-i uusima versiooni MSI laiendus.





printige failide loend kaustadesse ja alamkaustadesse Windows 10
Ekraanipilt slproweb veebisaidilt OpenSSL-i allalaadimiseks

Näiteks kaaluge OpenSSL-i aadressil D:\OpenSSL-Win64 . Saate seda muuta. Kui installimine on lõppenud, avage PowerShell administraatorina ja navigeerige nimega alamkausta prügikast kaustas, kuhu installisite OpenSSL-i. Selleks kasutage järgmist käsku:

 cd 'D:\OpenSSL-Win64\bin'

Nüüd on teil juurdepääs openssl.exe ja saate seda käivitada nii, nagu soovite.



Käivitage versioonikäsk, et näha, kas openssl on installitud

Looge oma privaatvõti OpenSSL-iga

Iseallkirjastatud sertifikaadi loomiseks vajate privaatvõtit. Samas prügikasti kaustas saate selle privaatvõtme luua, sisestades PowerShelli järgmise käsu, kui olete administraatorina avanud.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

See käsk genereerib OpenSSL-i kaudu 2048-bitise 3DES-krüpteeritud RSA privaatvõtme. OpenSSL palub teil sisestada parool. Peaksite kasutama a tugev ja meeldejääv parool . Pärast sama parooli kaks korda sisestamist olete oma RSA privaatvõtme edukalt loonud.



RSA-võtme genereerimiseks kasutatud käsu väljund

Oma privaatse RSA-võtme leiate nimega myPrivateKey.key .

Kuidas luua OpenSSL-iga CSR-faili

Teie loodud privaatvõtmest üksi ei piisa. Lisaks vajate iseallkirjastatud sertifikaadi loomiseks CSR-faili. Selle CSR-faili loomiseks peate sisestama PowerShelli uue käsu:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL küsib ka siin privaatvõtme genereerimiseks sisestatud parooli. Lisaks küsib see teie juriidilist ja isiklikku teavet. Olge selle teabe õigesti sisestamisel ettevaatlik.

CSR-faili genereerimiseks kasutatud käsu väljund

Lisaks on võimalik kõiki seniseid toiminguid teha ühe käsureaga. Kui kasutate allolevat käsku, saate korraga genereerida nii oma privaatse RSA-võtme kui ka CSR-faili:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
RSA- ja CSR-failide loomiseks kasutatava käsu väljund

Nüüd näete faili nimega myCertRequest.csr vastavas kataloogis. See teie loodud CSR-fail sisaldab teavet järgmise kohta:

  • Tõendit taotlev asutus.
  • Üldnimi (st domeeninimi).
  • Avalik võti (krüpteerimiseks).

Teie loodud CSR-failid peavad teatud asutused üle vaatama ja heaks kiitma. Selleks peate saatma CSR-faili otse sertifitseerimisasutusele või teistele vahendavatele asutustele.

Need ametiasutused ja maaklerimajad kontrollivad, kas teie esitatud teave on õige, olenevalt soovitud sertifikaadi olemusest. Teabe õigsuse tõestamiseks peate võib-olla saatma mõned dokumendid ka võrguühenduseta (faks, post jne).

Sertifikaadi koostamine sertifitseerimisasutuse poolt

Kui saadate loodud CSR-faili kehtivale sertifitseerimisasutusele, allkirjastab sertifitseerimisasutus faili ja saadab sertifikaadi taotlevale asutusele või isikule. Seda tehes loob sertifitseerimisasutus (tuntud ka kui CA) CSR- ja RSA-failidest ka PEM-faili. PEM-fail on viimane iseallkirjastatud sertifikaadi jaoks vajalik fail. Need etapid tagavad selle SSL-sertifikaadid on korrastatud, usaldusväärsed ja turvalised .

Samuti saate OpenSSL-iga ise PEM-faili luua. See võib aga kujutada endast potentsiaalset ohtu teie sertifikaadi turvalisusele, kuna viimase autentsus või kehtivus pole selge. Samuti võib asjaolu, et teie sertifikaati ei saa kontrollida, põhjustada selle, et see mõnes rakenduses ja keskkonnas ei tööta. Nii et selle iseallkirjastatud sertifikaadi näite puhul võime kasutada võltsitud PEM-faili, kuid loomulikult pole see reaalses kasutuses võimalik.

Praegu kujutage ette PEM-faili nimega myPemKey.pem pärineb ametlikult sertifitseerimisasutuselt. Enda jaoks PEM-faili loomiseks saate kasutada järgmist käsku:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Kui teil oleks selline fail, peaksite ise allkirjastatud sertifikaadi jaoks kasutama järgmist käsku:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

See käsk tähendab, et CSR-fail on allkirjastatud privaatvõtmega nimega myPemKey.pem , kehtib 365 päeva. Selle tulemusena loote sertifikaadifaili nimega mySignedCert.cer .

Pilt, mille kaustas on iseallkirjastatud sertifikaat

Iseallkirjastatud sertifikaadi teave

Loodud iseallkirjastatud sertifikaadi teabe kontrollimiseks saate kasutada järgmist käsku:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

See näitab teile kogu sertifikaadis sisalduvat teavet. Võimalik on näha palju teavet, näiteks ettevõtte või isikuandmeid ning sertifikaadil kasutatud algoritme.

Mis saab siis, kui iseallkirjastatud sertifikaate ei allkirjasta sertifitseerimisasutus?

Oluline on auditeerida loodud iseallkirjastatud sertifikaate ja kinnitada, et need on turvalised. Tavaliselt teeb seda kolmandast osapoolest sertifikaadi pakkuja (st CA). Kui teil pole kolmanda osapoole sertifitseerimisasutuse allkirjastatud ja heaks kiidetud sertifikaati ning te kasutate seda kinnitamata sertifikaati, tekib mõni turvaprobleem.

Häkkerid saavad kasutada teie iseallkirjastatud sertifikaati näiteks veebisaidi võltskoopia loomiseks. See võimaldab ründajal varastada kasutajate teavet. Samuti saavad nad kätte teie kasutajate kasutajanimed, paroolid või muu tundlikku teavet.

Kasutajate turvalisuse tagamiseks peavad veebisaidid ja muud teenused tavaliselt kasutama sertifikaate, mis on tegelikult sertifitseeritud CA poolt. See annab kindluse, et kasutaja andmed on krüptitud ja loovad ühenduse õige serveriga.

Iseallkirjastatud sertifikaatide loomine Windowsis

Nagu näete, on OpenSSL-iga Windowsis iseallkirjastatud sertifikaadi loomine üsna lihtne. Kuid pidage meeles, et vajate ka sertifitseerimisasutuste heakskiitu.

Sellegipoolest näitab sellise sertifikaadi koostamine, et võtate kasutajate turvalisust tõsiselt, mis tähendab, et nad usaldavad teid, teie saiti ja teie üldist brändi rohkem.