SSL -varmenteen saaminen miltä tahansa suurelta varmentajalta voi maksaa 100 dollaria tai enemmän. Lisää sekoitukseen uutisia, jotka näyttävät osoittavan, että kaikkia vakiintuneita varmentajia ei voida luottaa 100% ajasta, ja saatat päättää kiertää epävarmuuden ja poistaa kustannukset olemalla oma varmenteen myöntäjäsi.
Askeleet
Osa 1/4: CA -varmenteen luominen
Vaihe 1. Luo varmentajasi yksityinen avain antamalla seuraava komento
-
openssl genrsa -des3 -out server. CA.key 2048
-
Vaihtoehdot selitettiin
- openssl - ohjelmiston nimi
- genrsa - luo uuden yksityisen avaimen
- -des3 - salaa avaimen DES -salauksella
- -out server. CA.key - uuden avaimesi nimi
- 2048 - yksityisen avaimen pituus bitteinä (katso varoitukset)
- Säilytä tämä varmenne ja salasana turvallisessa paikassa.
Vaihe 2. Luo varmenteen allekirjoituspyyntö
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Vaihtoehdot selitettiin:
- req - Luo allekirjoituspyynnön
- -verbose - näyttää yksityiskohdat pyynnöstä, kun sitä luodaan (valinnainen)
- -new - luo uuden pyynnön
- -avainpalvelin. CA.key - Yksityinen avain, jonka juuri loit yllä.
- -out server. CA.csr - Luomasi allekirjoituspyynnön tiedostonimi
- sha256 - Salausalgoritmi pyyntöjen allekirjoittamiseen (Jos et tiedä mitä tämä on, älä muuta tätä. Muuta tätä vain, jos tiedät mitä olet tekemässä)
Vaihe 3. Täytä tiedot mahdollisimman paljon
-
Maan nimi (2 -kirjaiminen koodi) [AU]:
MEILLE
-
Osavaltion tai maakunnan nimi (koko nimi) [Jotkin valtiot]:
CA
-
Paikan nimi (esim. Kaupunki) :
Piilaakso
-
Organisaation nimi (esim. Yritys) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organisaatioyksikön nimi (esim. Osio) :
-
Yleinen nimi (esim. Palvelimen FQDN tai OMA nimi) :
-
Sähköpostiosoite :
Vaihe 4. Allekirjoita todistus itse:
-
openssl ca -extensions v3_ca -out server. CA -sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Vaihtoehdot selitettiin:
- ca - Lataa varmenteen myöntäjämoduulin
- -laajennus v3_ca -Lataa v3_ca -laajennuksen, joka on pakollinen käytettäväksi nykyaikaisissa selaimissa
- -out server. CA -sign.crt -Uuden allekirjoitetun avaimesi nimi
- -avaintiedostopalvelin. CA.key - Yksityinen avain, jonka loit vaiheessa 1
- -verbose - näyttää yksityiskohdat pyynnöstä, kun sitä luodaan (valinnainen)
- -selfsign - Ilmoittaa openssl: lle, että käytät samaa avainta pyynnön allekirjoittamiseen
- -md sha256 - Viestissä käytettävä salausalgoritmi. (Jos et tiedä mitä tämä on, älä muuta tätä. Muuta tätä vain, jos tiedät mitä olet tekemässä)
- -päätös 330630235959Z - Varmenteen päättymispäivä. Merkintä on YYMMDDHHMMSSZ, jossa Z on GMT, joka tunnetaan joskus nimellä "Zulu".
- -infiles server. CA.csr - allekirjoituspyyntötiedosto, jonka loit yllä olevassa vaiheessa.
Vaihe 5. Tarkista CA -varmenteesi
- openssl x509 -noout -text -palvelimessa.ca.crt
-
Vaihtoehdot selitettiin:
- x509 - Lataa x509 -moduulin tarkastamaan allekirjoitetut varmenteet.
- -noout - Älä tulosta koodattua tekstiä
- -teksti - näyttää tiedot näytöllä
- -in server. CA.crt - Lataa allekirjoitettu varmenne
- Server. CA.crt -tiedosto voidaan jakaa kaikille, jotka käyttävät verkkosivustoasi tai käyttävät varmenteita, joita aiot allekirjoittaa.
Osa 2/4: SSL -varmenteiden luominen palvelulle, kuten Apache
Vaihe 1. Luo yksityinen avain
-
openssl genrsa -des3 -out server.apache.key 2048
-
Vaihtoehdot selitettiin:
- openssl - ohjelmiston nimi
- genrsa - luo uuden yksityisen avaimen
- -des3 - salaa avaimen DES -salauksella
- -out server.apache.key - uuden avaimesi nimi
- 2048 - yksityisen avaimen pituus bitteinä (katso varoitukset)
- Säilytä tämä varmenne ja salasana turvallisessa paikassa.
Vaihe 2. Luo varmenteen allekirjoituspyyntö
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Vaihtoehdot selitettiin:
- req - Luo allekirjoituspyynnön
- -verbose - näyttää yksityiskohdat pyynnöstä, kun sitä luodaan (valinnainen)
- -new - luo uuden pyynnön
- -avain server.apache.key - Yksityinen avain, jonka juuri loit yllä.
- -out server.apache.csr - Luomasi allekirjoituspyynnön tiedostonimi
- sha256 - Salausalgoritmi pyyntöjen allekirjoittamiseen (Jos et tiedä mitä tämä on, älä muuta tätä. Muuta tätä vain, jos tiedät mitä olet tekemässä)
Vaihe 3. Allekirjoita uusi avain CA -varmenteella
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Vaihtoehdot selitettiin:
- ca - Lataa varmenteen myöntäjämoduulin
- -out server.apache.pem - Tiedostonimi allekirjoitettu varmenne
- -avaintiedostopalvelin. CA.key - Pyynnön allekirjoittavan CA -varmenteen tiedostonimi
- -infiles server.apache.csr - Varmenteen allekirjoituspyynnön tiedostonimi
Vaihe 4. Täytä tiedot mahdollisimman paljon:
-
Maan nimi (2 -kirjaiminen koodi) [AU]:
MEILLE
-
Osavaltion tai maakunnan nimi (koko nimi) [Jotkin valtiot]:
CA
-
Paikan nimi (esim. Kaupunki) :
Piilaakso
-
Organisaation nimi (esim. Yritys) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organisaatioyksikön nimi (esim. Osio) :
-
Yleinen nimi (esim. Palvelimen FQDN tai OMA nimi) :
-
Sähköpostiosoite :
Vaihe 5. Tallenna kopio yksityisestä avaimestasi toiseen paikkaan
Luo yksityinen avain ilman salasanaa, jotta Apache ei kysyisi salasanaa:
-
openssl rsa -palvelimessa.apache.key -palvelin.apache.unsecured.key
-
Vaihtoehdot selitettiin:
- rsa - Käynnistää RSA -salausohjelman
- -in server.apache.key - Avaimen nimi, jonka haluat muuntaa.
- -out server.apache.unsecured.key - uuden suojaamattoman avaimen tiedostonimi
Vaihe 6. Määritä apache2.conf -tiedosto käyttämällä tuloksena olevaa server.apache.pem -tiedostoa yhdessä vaiheessa 1 luomasi yksityisen avaimen kanssa
Osa 3/4: Käyttäjävarmenteen luominen todennusta varten
Vaihe 1. Noudata kaikkia ohjeita kohdassa _Luo SSL -varmenteita Apachelle_
Vaihe 2. Muunna allekirjoitettu varmenne PKCS12: ksi
openssl pkcs12 -vienti -käyttäjä_cert.pem -inkey user_private_key.pem -out user_cert.p12
Osa 4/4: S/MIME-sähköpostivarmenteiden luominen
Vaihe 1. Luo yksityinen avain
openssl genrsa -des3 -out private_email.key 2048
Vaihe 2. Luo varmenteen allekirjoituspyyntö
openssl req -new -key private_email.key -out private_email.csr
Vaihe 3. Allekirjoita uusi avain CA -varmenteella
openssl ca -out private_email.pem -avaintiedostopalvelin. CA.key -infiles private_email.csr
Vaihe 4. Muunna varmenne PKCS12 -muotoon
openssl pkcs12 -vienti -yksityinen_sähköposti.crt -tuote yksityinen_sähköposti.avain -lähtö yksityinen_sähköposti.p12
Vaihe 5. Luo julkisen avaimen varmenne jakelua varten
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow's Public Key"
Vinkkejä
Voit muuttaa PEM -avainten sisältöä antamalla seuraavan komennon: openssl x509 -noout -text -in certificate.pem
Varoitukset
- 1024-bittisiä avaimia pidetään vanhentuneina. 2048-bittisten avainten katsotaan olevan turvallisia käyttäjävarmenteille vuoteen 2030 asti, mutta niitä ei pidetä riittävinä juurivarmenteille. Harkitse näitä haavoittuvuuksia varmenteita luodessasi.
- Oletuksena useimmat nykyaikaiset selaimet näyttävät epäluotettavan varmenteen varoituksen, kun joku vierailee sivustollasi. Varoitusten sanamuodosta on käyty paljon keskustelua, koska muut kuin tekniset käyttäjät voivat jäädä huomaamatta. Usein on parasta käyttää suurta viranomaista, jotta käyttäjät eivät saa varoituksia.
-
-