קבלת תעודת SSL מכל אחת מרשויות התעודה הגדולות יכולה להעלות 100 $ ומעלה. הוסף לתמהיל ידיעות חדשותיות אשר מצביעות על כך שלא ניתן לסמוך על כל אישורי הרשות שהוקמו 100% מהזמן, ואולי תחליט לעקוף את אי הוודאות ולמחוק את העלות על ידי היותך רשות אישורים משלך.
צעדים
חלק 1 מתוך 4: יצירת תעודת CA שלך
שלב 1. צור את המפתח הפרטי של CA שלך על ידי הפקת הפקודה הבאה
-
openssl genrsa -des3 -out server. CA.key 2048
-
האפשרויות מוסברות
- openssl - שם התוכנה
- genrsa - יוצר מפתח פרטי חדש
- -des3 - להצפין את המפתח באמצעות צופן DES
- -out server. CA.key - שם המפתח החדש שלך
- 2048 - אורך, בביטים, של המפתח הפרטי (עיין באזהרות)
- אחסן תעודה זו והסיסמה במקום בטוח.
שלב 2. צור בקשה לחתימת תעודה
-
openssl req -verbose -server -key חדש. CA.key -out שרת. CA.csr -sha256
-
האפשרויות מוסברות:
- req - יוצר בקשת חתימה
- -verbose - מציג לך פרטים על הבקשה בעת יצירתה (אופציונלי)
- -חדש - יוצר בקשה חדשה
- -key server. CA.key - המפתח הפרטי שיצרת זה עתה.
- -out server. CA.csr - שם הקובץ של בקשת החתימה שאתה יוצר
- sha256 - אלגוריתם ההצפנה לשימוש לבקשות חתימה (אם אינך יודע מה זה, אל תשנה זאת. עליך לשנות זאת רק אם אתה יודע מה אתה עושה)
שלב 3. מלא את המידע ככל האפשר
-
שם מדינה (קוד 2 אותיות) [AU]:
לָנוּ
-
שם מדינה או מחוז (שם מלא) [מדינה מסוימת]:
CA
-
שם היישוב (למשל עיר) :
עמק הסיליקון
-
שם הארגון (למשל, חברה) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- שם היחידה הארגונית (למשל, קטע) :
-
שם נפוץ (למשל, שרת FQDN או השם שלך) :
-
כתובת דוא ל :
שלב 4. חתימה עצמית על התעודה שלך:
-
openssl ca -סיומות v3_ca -out server. CA -signed.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -server files. CA.csr
-
האפשרויות מוסברות:
- ca - טוען את המודול של רשות התעודה
- -סיומת v3_ca -טוען את הסיומת v3_ca, חובה לשימוש בדפדפנים מודרניים
- -out server. CA -signed.crt -שמו של המפתח החדש החתום שלך
- -keyfile server. CA.key - המפתח הפרטי שיצרת בשלב 1
- -verbose - מציג לך פרטים על הבקשה בזמן שהיא נוצרת (אופציונלי)
- -selfsign - אומר ל- openssl שאתה משתמש באותו מפתח כדי לחתום על הבקשה
- -md sha256 - אלגוריתם ההצפנה לשימוש בהודעה. (אם אינך יודע מה זה, אל תשנה זאת. עליך לשנות זאת רק אם אתה יודע מה אתה עושה)
- -enddate 330630235959Z - תאריך הסיום של האישור. הסימון הוא YYMMDDHHMMSSZ כאשר Z נמצא ב- GMT, המכונה לפעמים "זולו".
- -infiles server. CA.csr - קובץ בקשת החתימה שיצרת את השלב למעלה.
שלב 5. בדוק את אישור CA שלך
- openssl x509 -אאוט -טקסט -בשרת. CA.crt
-
האפשרויות מוסברות:
- x509 - טוען את מודול x509 לבדיקת אישורים חתומים.
- -אאוט - אין להוציא את הטקסט המקודד
- -text - פלט את המידע על המסך
- -in server. CA.crt - טען את האישור החתום
- ניתן להפיץ את קובץ server. CA.crt לכל מי שישתמש באתר שלך או ישתמש באישורים שאתה מתכנן לחתום עליהם.
חלק 2 מתוך 4: יצירת אישורי SSL לשירות, כגון Apache
שלב 1. צור מפתח פרטי
-
openssl genrsa -des3 -out server.apache.key 2048
-
האפשרויות מוסברות:
- openssl - שם התוכנה
- genrsa - יוצר מפתח פרטי חדש
- -des3 - להצפין את המפתח באמצעות צופן DES
- -out server.apache.key - שם המפתח החדש שלך
- 2048 - אורך, בביטים, של המפתח הפרטי (עיין באזהרות)
- אחסן תעודה זו והסיסמה במקום בטוח.
שלב 2. צור בקשה לחתימת תעודה
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
האפשרויות מוסברות:
- req - יוצר בקשת חתימה
- -verbose - מציג לך פרטים על הבקשה בעת יצירתה (אופציונלי)
- -חדש - יוצר בקשה חדשה
- -key server.apache.key - המפתח הפרטי שיצרת זה עיל.
- -out server.apache.csr - שם הקובץ של בקשת החתימה שאתה יוצר
- sha256 - אלגוריתם ההצפנה לשימוש לבקשות חתימה (אם אינך יודע מה זה, אל תשנה זאת. עליך לשנות זאת רק אם אתה יודע מה אתה עושה)
שלב 3. השתמש באישור CA שלך לחתימה על המפתח החדש
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
האפשרויות מוסברות:
- ca - טוען את המודול של רשות התעודה
- -out server.apache.pem - שם הקובץ האישור החתום
- -keyfile server. CA.key - שם הקובץ של אישור ה- CA שיחתום על הבקשה
- -infiles server.apache.csr - שם הקובץ של בקשת חתימת התעודה
שלב 4. מלא את המידע ככל האפשר:
-
שם מדינה (קוד 2 אותיות) [AU]:
לָנוּ
-
שם מדינה או מחוז (שם מלא) [מדינה מסוימת]:
CA
-
שם היישוב (למשל עיר) :
עמק הסיליקון
-
שם הארגון (למשל, חברה) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- שם היחידה הארגונית (למשל, קטע) :
-
שם נפוץ (למשל, שרת FQDN או שמך) :
-
כתובת דוא ל :
שלב 5. שמור עותק של המפתח הפרטי שלך במיקום אחר
צור מפתח פרטי ללא סיסמה כדי למנוע מאפצ'י לבקש ממך סיסמה:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
האפשרויות מוסברות:
- rsa - מפעיל את תוכנית ההצפנה RSA
- -in server.apache.key - שם המפתח שברצונך להמיר.
- -out server.apache.unsecured.key - שם הקובץ של המפתח החדש ללא אבטחה
שלב 6. השתמש בקובץ server.apache.pem שהתקבל יחד עם המפתח הפרטי שיצרת בשלב 1 כדי להגדיר את קובץ apache2.conf שלך
חלק 3 מתוך 4: יצירת תעודת משתמש לאימות
שלב 1. בצע את כל השלבים ב _ יצירת אישורי SSL עבור Apache_
שלב 2. המר את האישור החתום שלך ל- PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
חלק 4 מתוך 4: יצירת אישורי דואר אלקטרוני S/MIME
שלב 1. צור מפתח פרטי
openssl genrsa -des3 -out private_email.key 2048
שלב 2. צור בקשת חתימת תעודה
openssl req -new -key private_email.key -out private_email.csr
שלב 3. השתמש באישור CA שלך לחתימה על המפתח החדש
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
שלב 4. המר את התעודה ל- PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
שלב 5. צור תעודת מפתח ציבורי להפצה
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "המפתח הציבורי של WikiHow"
טיפים
אתה יכול לשנות את התוכן של מפתחות PEM על ידי הוצאת הפקודה הבאה: openssl x509 -noout -text -in certificate.pem
אזהרות
- מפתחות 1024 סיביות נחשבים מיושנים. מפתחות 2048 סיביות נחשבים לאבטחים עבור אישורי משתמש עד שנת 2030, אך נחשבים כבלתי מספיקים עבור אישורי שורש. שקול נקודות תורפה אלה בעת יצירת התעודות שלך.
- כברירת מחדל, רוב הדפדפנים המודרניים יציגו אזהרה "אישור לא מהימן" כאשר מישהו מבקר באתר שלך. נערך דיון רב בנוסח האזהרות הללו, שכן משתמשים לא-טכניים עלולים להיתפס על הסף. לרוב עדיף להשתמש ברשות גדולה כדי שהמשתמשים לא יקבלו את האזהרות.