Kuinka olla oma varmentaja (kuvilla)

2024 Kirjoittaja: Gilbert Ryder | [email protected]. Viimeksi muokattu: 2024-02-02 01:07

SSL -varmenteen saaminen miltä tahansa suurelta varmentajalta voi maksaa 100 dollaria tai enemmän. Lisää sekoitukseen uutisia, jotka näyttävät osoittavan, että kaikkia vakiintuneita varmentajia ei voida luottaa 100% ajasta, ja saatat päättää kiertää epävarmuuden ja poistaa kustannukset olemalla oma varmenteen myöntäjäsi.

Askeleet

Osa 1/4: CA -varmenteen luominen

Vaihe 1. Luo varmentajasi yksityinen avain antamalla seuraava komento

• openssl genrsa -des3 -out server. CA.key 2048

• Vaihtoehdot selitettiin

  • openssl - ohjelmiston nimi
  • genrsa - luo uuden yksityisen avaimen
  • -des3 - salaa avaimen DES -salauksella
  • -out server. CA.key - uuden avaimesi nimi
  • 2048 - yksityisen avaimen pituus bitteinä (katso varoitukset)
• Säilytä tämä varmenne ja salasana turvallisessa paikassa.

Vaihe 2. Luo varmenteen allekirjoituspyyntö

• openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256

• Vaihtoehdot selitettiin:

  • req - Luo allekirjoituspyynnön
  • -verbose - näyttää yksityiskohdat pyynnöstä, kun sitä luodaan (valinnainen)
  • -new - luo uuden pyynnön
  • -avainpalvelin. CA.key - Yksityinen avain, jonka juuri loit yllä.
  • -out server. CA.csr - Luomasi allekirjoituspyynnön tiedostonimi
  • sha256 - Salausalgoritmi pyyntöjen allekirjoittamiseen (Jos et tiedä mitä tämä on, älä muuta tätä. Muuta tätä vain, jos tiedät mitä olet tekemässä)

Vaihe 3. Täytä tiedot mahdollisimman paljon

• Maan nimi (2 -kirjaiminen koodi) [AU]:

  MEILLE

• Osavaltion tai maakunnan nimi (koko nimi) [Jotkin valtiot]:

  CA

• Paikan nimi (esim. Kaupunki) :

  Piilaakso

• Organisaation nimi (esim. Yritys) [Internet Widgits Pty Ltd]:

  wikiHow, Inc.

• Organisaatioyksikön nimi (esim. Osio) :

• Yleinen nimi (esim. Palvelimen FQDN tai OMA nimi) :

• Sähköpostiosoite :

  

  Vaihe 4. Allekirjoita todistus itse:

  • openssl ca -extensions v3_ca -out server. CA -sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr

  • Vaihtoehdot selitettiin:

    • ca - Lataa varmenteen myöntäjämoduulin
    • -laajennus v3_ca -Lataa v3_ca -laajennuksen, joka on pakollinen käytettäväksi nykyaikaisissa selaimissa
    • -out server. CA -sign.crt -Uuden allekirjoitetun avaimesi nimi
    • -avaintiedostopalvelin. CA.key - Yksityinen avain, jonka loit vaiheessa 1
    • -verbose - näyttää yksityiskohdat pyynnöstä, kun sitä luodaan (valinnainen)
    • -selfsign - Ilmoittaa openssl: lle, että käytät samaa avainta pyynnön allekirjoittamiseen
    • -md sha256 - Viestissä käytettävä salausalgoritmi. (Jos et tiedä mitä tämä on, älä muuta tätä. Muuta tätä vain, jos tiedät mitä olet tekemässä)
    • -päätös 330630235959Z - Varmenteen päättymispäivä. Merkintä on YYMMDDHHMMSSZ, jossa Z on GMT, joka tunnetaan joskus nimellä "Zulu".
    • -infiles server. CA.csr - allekirjoituspyyntötiedosto, jonka loit yllä olevassa vaiheessa.

  

  Vaihe 5. Tarkista CA -varmenteesi

  • openssl x509 -noout -text -palvelimessa.ca.crt

  • Vaihtoehdot selitettiin:

    • x509 - Lataa x509 -moduulin tarkastamaan allekirjoitetut varmenteet.
    • -noout - Älä tulosta koodattua tekstiä
    • -teksti - näyttää tiedot näytöllä
    • -in server. CA.crt - Lataa allekirjoitettu varmenne
  • Server. CA.crt -tiedosto voidaan jakaa kaikille, jotka käyttävät verkkosivustoasi tai käyttävät varmenteita, joita aiot allekirjoittaa.

  Osa 2/4: SSL -varmenteiden luominen palvelulle, kuten Apache

  

  Vaihe 1. Luo yksityinen avain

  • openssl genrsa -des3 -out server.apache.key 2048

  • Vaihtoehdot selitettiin:

    • openssl - ohjelmiston nimi
    • genrsa - luo uuden yksityisen avaimen
    • -des3 - salaa avaimen DES -salauksella
    • -out server.apache.key - uuden avaimesi nimi
    • 2048 - yksityisen avaimen pituus bitteinä (katso varoitukset)
  • Säilytä tämä varmenne ja salasana turvallisessa paikassa.

  

  Vaihe 2. Luo varmenteen allekirjoituspyyntö

  • openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256

  • Vaihtoehdot selitettiin:

    • req - Luo allekirjoituspyynnön
    • -verbose - näyttää yksityiskohdat pyynnöstä, kun sitä luodaan (valinnainen)
    • -new - luo uuden pyynnön
    • -avain server.apache.key - Yksityinen avain, jonka juuri loit yllä.
    • -out server.apache.csr - Luomasi allekirjoituspyynnön tiedostonimi
    • sha256 - Salausalgoritmi pyyntöjen allekirjoittamiseen (Jos et tiedä mitä tämä on, älä muuta tätä. Muuta tätä vain, jos tiedät mitä olet tekemässä)

  

  Vaihe 3. Allekirjoita uusi avain CA -varmenteella

  • openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr

  • Vaihtoehdot selitettiin:

    • ca - Lataa varmenteen myöntäjämoduulin
    • -out server.apache.pem - Tiedostonimi allekirjoitettu varmenne
    • -avaintiedostopalvelin. CA.key - Pyynnön allekirjoittavan CA -varmenteen tiedostonimi
    • -infiles server.apache.csr - Varmenteen allekirjoituspyynnön tiedostonimi

  

  Vaihe 4. Täytä tiedot mahdollisimman paljon:

  • Maan nimi (2 -kirjaiminen koodi) [AU]:

    MEILLE

  • Osavaltion tai maakunnan nimi (koko nimi) [Jotkin valtiot]:

    CA

  • Paikan nimi (esim. Kaupunki) :

    Piilaakso

  • Organisaation nimi (esim. Yritys) [Internet Widgits Pty Ltd]:

    wikiHow, Inc.

  • Organisaatioyksikön nimi (esim. Osio) :

  • Yleinen nimi (esim. Palvelimen FQDN tai OMA nimi) :

  • Sähköpostiosoite :

    

    Vaihe 5. Tallenna kopio yksityisestä avaimestasi toiseen paikkaan

    Luo yksityinen avain ilman salasanaa, jotta Apache ei kysyisi salasanaa:

    • openssl rsa -palvelimessa.apache.key -palvelin.apache.unsecured.key

    • Vaihtoehdot selitettiin:

      • rsa - Käynnistää RSA -salausohjelman
      • -in server.apache.key - Avaimen nimi, jonka haluat muuntaa.
      • -out server.apache.unsecured.key - uuden suojaamattoman avaimen tiedostonimi

    

    Vaihe 6. Määritä apache2.conf -tiedosto käyttämällä tuloksena olevaa server.apache.pem -tiedostoa yhdessä vaiheessa 1 luomasi yksityisen avaimen kanssa

    Osa 3/4: Käyttäjävarmenteen luominen todennusta varten

    

    Vaihe 1. Noudata kaikkia ohjeita kohdassa _Luo SSL -varmenteita Apachelle_

    

    Vaihe 2. Muunna allekirjoitettu varmenne PKCS12: ksi

    openssl pkcs12 -vienti -käyttäjä_cert.pem -inkey user_private_key.pem -out user_cert.p12

    Osa 4/4: S/MIME-sähköpostivarmenteiden luominen

    

    Vaihe 1. Luo yksityinen avain

    openssl genrsa -des3 -out private_email.key 2048

    

    Vaihe 2. Luo varmenteen allekirjoituspyyntö

    openssl req -new -key private_email.key -out private_email.csr

    

    Vaihe 3. Allekirjoita uusi avain CA -varmenteella

    openssl ca -out private_email.pem -avaintiedostopalvelin. CA.key -infiles private_email.csr

    

    Vaihe 4. Muunna varmenne PKCS12 -muotoon

    openssl pkcs12 -vienti -yksityinen_sähköposti.crt -tuote yksityinen_sähköposti.avain -lähtö yksityinen_sähköposti.p12

    

    Vaihe 5. Luo julkisen avaimen varmenne jakelua varten

    openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow's Public Key"

    Vinkkejä

    Voit muuttaa PEM -avainten sisältöä antamalla seuraavan komennon: openssl x509 -noout -text -in certificate.pem

    Varoitukset

    • 1024-bittisiä avaimia pidetään vanhentuneina. 2048-bittisten avainten katsotaan olevan turvallisia käyttäjävarmenteille vuoteen 2030 asti, mutta niitä ei pidetä riittävinä juurivarmenteille. Harkitse näitä haavoittuvuuksia varmenteita luodessasi.
    • Oletuksena useimmat nykyaikaiset selaimet näyttävät epäluotettavan varmenteen varoituksen, kun joku vierailee sivustollasi. Varoitusten sanamuodosta on käyty paljon keskustelua, koska muut kuin tekniset käyttäjät voivat jäädä huomaamatta. Usein on parasta käyttää suurta viranomaista, jotta käyttäjät eivät saa varoituksia.