Pridobitev potrdila SSL od katerega koli od večjih overiteljev potrdil (CA) lahko stane 100 USD in več. K mešanici dodajte novice, ki nakazujejo, da vsem uveljavljenim CA -jem ne morete zaupati 100% časa, zato se boste morda odločili izogniti negotovosti in izbrisati stroške tako, da ste lastni organ za potrdila.
Koraki
1. del od 4: Ustvarjanje potrdila CA
Korak 1. Ustvarite zasebni ključ CA, tako da izdate naslednji ukaz
-
openssl genrsa -des3 -out strežnik. CA.key 2048
-
Razložene možnosti
- openssl - ime programske opreme
- genrsa - ustvari nov zasebni ključ
- -des3 - šifrirajte ključ z DES šifro
- -out server. CA.key - ime vašega novega ključa
- 2048 - dolžina zasebnega ključa v bitih (glejte opozorila)
- To potrdilo in geslo shranite na varno mesto.
Korak 2. Ustvarite zahtevo za podpis potrdila
-
openssl req -verbose -nov strežnik -key. CA.key -out server. CA.csr -sha256
-
Razložene možnosti:
- req - Ustvari zahtevo po podpisu
- -verbose - prikaže podrobnosti o zahtevi, ko se ustvarja (neobvezno)
- -new - ustvari novo zahtevo
- -key server. CA.key - Zasebni ključ, ki ste ga pravkar ustvarili.
- -out server. CA.csr - Ime datoteke zahteve za podpisovanje, ki jo ustvarjate
- sha256 - Algoritem šifriranja za uporabo pri podpisovanju zahtev (če ne veste, kaj je to, tega ne spremenite. To morate spremeniti le, če veste, kaj počnete)
Korak 3. Izpolnite podatke, kolikor je mogoče
-
Ime države (dvočrkovna koda) [AU]:
ZDA
-
Ime države ali province (polno ime) [Some-State]:
CA
-
Ime kraja (npr. Mesto) :
Silicijeva dolina
-
Ime organizacije (npr. Podjetje) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Ime organizacijske enote (npr. Oddelek) :
-
Splošno ime (na primer FQDN strežnika ali vaše ime) :
-
Email naslov :
Korak 4. Sami podpišite svoje potrdilo:
-
openssl ca -razširitve v3_ca -out strežnik. CA -podpisan.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Razložene možnosti:
- ca - Naloži modul overitelja potrdil
- -extension v3_ca -naloži razširitev v3_ca, ki jo je treba uporabiti v sodobnih brskalnikih
- -out server. CA -igned.crt -Ime vašega novega podpisanega ključa
- -keyfile server. CA.key - Zasebni ključ, ki ste ga ustvarili v 1. koraku
- -verbose - prikaže podrobnosti o zahtevi, ko se ustvarja (neobvezno)
- -selfsign - Openssl pove, da za podpis zahteve uporabite isti ključ
- -md sha256 - Algoritem šifriranja za sporočilo. (Če ne veste, kaj je to, tega ne spreminjajte. To bi morali spremeniti le, če veste, kaj počnete)
- -enddate 330630235959Z - Končni datum potrdila. Zapis je YYMMDDHHMMSSZ, kjer je Z v GMT, včasih znan tudi kot "Zulu" čas.
- -infiles server. CA.csr - datoteka zahteve za podpis, ki ste jo ustvarili v zgornjem koraku.
Korak 5. Preglejte potrdilo CA
- openssl x509 -noout -text -in strežnik. CA.crt
-
Razložene možnosti:
- x509 - Naloži modul x509 za pregled podpisanih potrdil.
- -noout - Ne oddajajte kodiranega besedila
- -text - prikaže informacije na zaslonu
- -in server. CA.crt - naložite podpisano potrdilo
- Datoteko server. CA.crt lahko razdelite vsem, ki bodo uporabljali vaše spletno mesto ali uporabljali potrdila, ki jih nameravate podpisati.
2. del od 4: Ustvarjanje potrdil SSL za storitev, kot je Apache
Korak 1. Ustvarite zasebni ključ
-
openssl genrsa -des3 -out server.apache.key 2048
-
Razložene možnosti:
- openssl - ime programske opreme
- genrsa - ustvari nov zasebni ključ
- -des3 - šifrirajte ključ z DES šifro
- -out server.apache.key - ime vašega novega ključa
- 2048 - dolžina zasebnega ključa v bitih (glejte opozorila)
- To potrdilo in geslo shranite na varno mesto.
Korak 2. Ustvarite zahtevo za podpis potrdila
-
openssl req -verbose -nov -ključ -strežnik.apache.key -out server.apache.csr -sha256
-
Razložene možnosti:
- req - Ustvari zahtevo po podpisu
- -verbose - prikaže podrobnosti o zahtevi, ko se ustvarja (neobvezno)
- -new - ustvari novo zahtevo
- -key server.apache.key - Zasebni ključ, ki ste ga pravkar ustvarili.
- -out server.apache.csr - Ime datoteke zahteve za podpisovanje, ki jo ustvarjate
- sha256 - Algoritem šifriranja za uporabo pri podpisovanju zahtev (če ne veste, kaj je to, tega ne spremenite. To morate spremeniti le, če veste, kaj počnete)
Korak 3. S potrditvijo CA potrdite nov ključ
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Razložene možnosti:
- ca - Naloži modul overitelja potrdil
- -out server.apache.pem - Ime datoteke podpisanega potrdila
- -keyfile server. CA.key - Ime datoteke potrdila CA, ki bo podpisalo zahtevo
- -infiles server.apache.csr - Ime datoteke zahteve za podpis potrdila
Korak 4. Izpolnite podatke, kolikor je mogoče:
-
Ime države (dvočrkovna koda) [AU]:
ZDA
-
Ime države ali province (polno ime) [Some-State]:
CA
-
Ime kraja (npr. Mesto) :
Silicijeva dolina
-
Ime organizacije (npr. Podjetje) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Ime organizacijske enote (npr. Oddelek) :
-
Splošno ime (na primer FQDN strežnika ali vaše ime) :
-
Email naslov :
Korak 5. Shranite kopijo svojega zasebnega ključa na drugo mesto
Ustvarite zasebni ključ brez gesla, da preprečite, da bi Apache zahteval geslo:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Razložene možnosti:
- rsa - Zažene program za šifriranje RSA
- -in server.apache.key - Ime ključa, ki ga želite pretvoriti.
- -out server.apache.unsecured.key - Ime datoteke novega nezavarovanega ključa
Korak 6. Za nastavitev datoteke apache2.conf uporabite nastalo datoteko server.apache.pem skupaj z zasebnim ključem, ki ste ga ustvarili v 1. koraku
3. del od 4: Ustvarjanje uporabniškega potrdila za preverjanje pristnosti
Korak 1. Sledite vsem korakom v _Ustvarjanje potrdil SSL za Apache_
Korak 2. Pretvorite podpisano potrdilo v PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
4. del od 4: Ustvarjanje potrdil za e-pošto S/MIME
Korak 1. Ustvarite zasebni ključ
openssl genrsa -des3 -out private_email.key 2048
Korak 2. Ustvarite zahtevo za podpis certifikata
openssl req -nov -ključ private_email.key -out private_email.csr
Korak 3. S potrditvijo CA potrdite nov ključ
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Korak 4. Pretvorite potrdilo v PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Korak 5. Ustvarite potrdilo javnega ključa za distribucijo
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "Javni ključ WikiHow"
Nasveti
Vsebino ključev PEM lahko spremenite tako, da izdate naslednji ukaz: openssl x509 -noout -text -in certificate.pem
Opozorila
- 1024-bitni ključi veljajo za zastarele. 2048-bitni ključi se štejejo za varne za uporabniška potrdila do leta 2030, vendar ne veljajo za korenska potrdila. Pri ustvarjanju potrdil upoštevajte te ranljivosti.
- Večina sodobnih brskalnikov bo privzeto prikazalo opozorilo »Nezanesljivo potrdilo«, ko nekdo obišče vaše spletno mesto. O besedilu teh opozoril se je veliko razpravljalo, saj je netehnične uporabnike mogoče ujeti nepripravljeno. Pogosto je najbolje uporabiti pomemben organ, da uporabniki ne dobijo opozoril.