At få et SSL -certifikat fra en af de større certifikatmyndigheder (CA'er) kan køre $ 100 og opefter. Tilføj nyheder, der tilsyneladende angiver, at ikke alle de etablerede CA'er kan stole på 100% af tiden, og du kan beslutte at omgå usikkerheden og slette omkostningerne ved at være din egen certifikatmyndighed.
Trin
Del 1 af 4: Oprettelse af dit CA -certifikat
Trin 1. Generer din CA's private nøgle ved at udstede følgende kommando
-
openssl genrsa -des3 -out server. CA.key 2048
-
Mulighederne forklaret
- openssl - navnet på softwaren
- genrsa - opretter en ny privat nøgle
- -des3 - krypter nøglen ved hjælp af DES -chifferet
- -out server. CA.key - navnet på din nye nøgle
- 2048 - længden i bit af den private nøgle (se advarslerne)
- Gem dette certifikat og adgangskoden et sikkert sted.
Trin 2. Opret en anmodning om underskrift af certifikater
-
openssl req -verbose -ny -key server. CA.key -out server. CA.csr -sha256
-
Mulighederne forklaret:
- req - Opretter en underskriftsanmodning
- -verbose - viser dig detaljer om anmodningen, da den oprettes (valgfrit)
- -ny - opretter en ny anmodning
- -key server. CA.key - Den private nøgle, du lige har oprettet ovenfor.
- -out server. CA.csr - Filnavnet på den underskriftsanmodning, du opretter
- sha256 - Krypteringsalgoritmen, der skal bruges til signering af anmodninger (Hvis du ikke ved, hvad dette er, skal du ikke ændre dette. Du bør kun ændre dette, hvis du ved, hvad du laver)
Trin 3. Udfyld oplysningerne så meget som muligt
-
Landnavn (kode på 2 bogstaver) [AU]:
OS
-
Stat eller provinsnavn (fuldt navn) [Nogle-stat]:
CA
-
Lokalitetsnavn (f.eks. By) :
Silicon Valley
-
Organisationsnavn (f.eks. Virksomhed) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organisatorisk enhedsnavn (f.eks. Sektion) :
-
Almindeligt navn (f.eks. Server FQDN eller DIT navn) :
-
Email adresse :
Trin 4. Selvtegn dit certifikat:
-
openssl ca -udvidelser v3_ca -out server. CA -signed.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -endate 330630235959Z -infiles server. CA.csr
-
Mulighederne forklaret:
- ca - Indlæser modulet Certificate Authority
- -udvidelse v3_ca -Indlæser v3_ca -udvidelsen, et must -have til brug i moderne browsere
- -out server. CA -signed.crt -Navnet på din nye signerede nøgle
- -keyfile server. CA.key - Den private nøgle, du oprettede i trin 1
- -verbose - viser dig detaljer om anmodningen, da den oprettes (valgfrit)
- -selfsign - Fortæller openssl, at du bruger den samme nøgle til at underskrive anmodningen
- -md sha256 - Krypteringsalgoritmen, der skal bruges til meddelelsen. (Hvis du ikke ved, hvad dette er, skal du ikke ændre dette. Du bør kun ændre dette, hvis du ved, hvad du laver)
- -enddato 330630235959Z - Slutdatoen for certifikatet. Notationen er YYMMDDHHMMSSZ, hvor Z er i GMT, undertiden kendt som "Zulu" -tid.
- -infiles server. CA.csr - filen til signeringsanmodning, som du oprettede ovenstående trin.
Trin 5. Undersøg dit CA -certifikat
- openssl x509 -noout -text -in server. CA.crt
-
Mulighederne forklaret:
- x509 - Indlæser x509 -modulet for at inspicere signerede certifikater.
- -noout - Udskriv ikke den kodede tekst
- -tekst - udsend oplysningerne på skærmen
- -in server. CA.crt - Indlæs det underskrevne certifikat
- Server. CA.crt -filen kan distribueres til alle, der vil bruge dit websted eller bruge certifikater, som du planlægger at underskrive.
Del 2 af 4: Oprettelse af SSL -certifikater til en tjeneste, f.eks. Apache
Trin 1. Opret en privat nøgle
-
openssl genrsa -des3 -out server.apache.key 2048
-
Mulighederne forklaret:
- openssl - navnet på softwaren
- genrsa - opretter en ny privat nøgle
- -des3 - krypter nøglen ved hjælp af DES -chifferet
- -out server.apache.key - navnet på din nye nøgle
- 2048 - længden i bit af den private nøgle (se advarslerne)
- Gem dette certifikat og adgangskoden et sikkert sted.
Trin 2. Opret en anmodning om underskrift af certifikater
-
openssl req -verbose -ny -key server.apache.key -out server.apache.csr -sha256
-
Mulighederne forklaret:
- req - Opretter en underskriftsanmodning
- -verbose - viser dig detaljer om anmodningen, da den oprettes (valgfrit)
- -ny - opretter en ny anmodning
- -key server.apache.key - Den private nøgle, du lige har oprettet ovenfor.
- -out server.apache.csr - Filnavnet på den underskriftsanmodning, du opretter
- sha256 - Krypteringsalgoritmen, der skal bruges til signering af anmodninger (Hvis du ikke ved, hvad dette er, skal du ikke ændre dette. Du bør kun ændre dette, hvis du ved, hvad du laver)
Trin 3. Brug dit CA -certifikat til at underskrive den nye nøgle
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Mulighederne forklaret:
- ca - Indlæser modulet Certificate Authority
- -out server.apache.pem - Filnavnet det signerede certifikat
- -keyfile server. CA.key - Filnavnet på det CA -certifikat, der vil underskrive anmodningen
- -infiles server.apache.csr - filnavnet på anmodningen om certifikatsignering
Trin 4. Udfyld oplysningerne så meget som muligt:
-
Landnavn (kode på 2 bogstaver) [AU]:
OS
-
Stat eller provinsnavn (fuldt navn) [Nogle-stat]:
CA
-
Lokalitetsnavn (f.eks. By) :
Silicon Valley
-
Organisationsnavn (f.eks. Virksomhed) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organisatorisk enhedsnavn (f.eks. Sektion) :
-
Almindeligt navn (f.eks. Server FQDN eller DIT navn) :
-
Email adresse :
Trin 5. Gem en kopi af din private nøgle et andet sted
Opret en privat nøgle uden adgangskode for at forhindre Apache i at bede dig om en adgangskode:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Mulighederne forklaret:
- rsa - Kører RSA -krypteringsprogrammet
- -in server.apache.key - Nøglenavnet, du vil konvertere.
- -out server.apache.unsecured.key - Filnavnet på den nye usikrede nøgle
Trin 6. Brug den resulterende server.apache.pem -fil sammen med den private nøgle, du genererede i trin 1, til at konfigurere din apache2.conf -fil
Del 3 af 4: Oprettelse af et brugercertifikat til godkendelse
Trin 1. Følg alle trinene i _Oprettelse af SSL -certifikater til Apache_
Trin 2. Konverter dit underskrevne certifikat til en PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
Del 4 af 4: Oprettelse af S/MIME-e-mail-certifikater
Trin 1. Opret en privat nøgle
openssl genrsa -des3 -out private_email.key 2048
Trin 2. Opret en anmodning om certifikatsignering
openssl req -ny -key private_email.key -out private_email.csr
Trin 3. Brug dit CA -certifikat til at underskrive den nye nøgle
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Trin 4. Konverter certifikatet til PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Trin 5. Opret et Public Key -certifikat til distribution
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHows offentlige nøgle"
Tips
Du kan variere indholdet af PEM -nøgler ved at udstede følgende kommando: openssl x509 -noout -text -in certificate.pem
Advarsler
- 1024-bit nøgler anses for forældede. 2048-bit nøgler anses for at være sikre for brugercertifikater frem til 2030, men anses for utilstrækkelige til rodcertifikater. Overvej disse sårbarheder, når du opretter dine certifikater.
- Som standard vil de fleste moderne browsere vise en advarsel "Ikke -betroet certifikat", når nogen besøger dit websted. Der har været megen debat om ordlyden af disse advarsler, da ikke-tekniske brugere kan blive fanget ubevidst. Det er ofte bedst at bruge en større myndighed, så brugerne ikke får advarslerne.
-
-