Как да бъдете свой собствен сертифициращ орган (със снимки)

2024 Автор: Gilbert Ryder | [email protected]. Последно модифициран: 2024-02-02 01:07

Получаването на SSL сертификат от някой от основните центрове за сертифициране (CA) може да струва $ 100 и повече. Добавете към сместа новини, които изглежда показват, че не на всички установени CA могат да се доверяват 100% от времето и може да решите да заобиколите несигурността и да изтриете разходите, като сте свой собствен сертифициращ орган.

Стъпки

Част 1 от 4: Създаване на вашия CA сертификат

Бъдете свой собствен сертифициращ орган Стъпка 1

Стъпка 1. Генерирайте частния ключ на вашия CA, като издадете следната команда

openssl genrsa -des3 -out сървър. CA.key 2048
Обяснените опции
- openssl - името на софтуера
- genrsa - създава нов частен ключ
- -des3 - шифроване на ключа с помощта на DES шифъра
- -out server. CA.key - името на новия ви ключ
- 2048 - дължината, в битове, на частния ключ (моля, вижте предупрежденията)
Съхранявайте този сертификат и паролата на безопасно място.

Бъдете ваш собствен сертифициращ орган Стъпка 2

Стъпка 2. Създайте заявка за подписване на сертификат

openssl req -verbose -нов -ключ -сървър. CA.key -out сървър. CA.csr -sha256
Обяснените опции:
- req - Създава заявка за подписване
- -verbose - показва подробности за заявката, докато се създава (по избор)
- -ново - създава нова заявка
- -key server. CA.key - Частният ключ, който току -що създадохте по -горе.
- -out server. CA.csr - Името на файла на искането за подписване, което създавате
- sha256 - Алгоритъмът за криптиране, който да използвате за заявки за подписване (Ако не знаете какво е това, не променяйте това. Трябва да промените това само ако знаете какво правите)

Бъдете свой собствен сертифициращ орган Стъпка 3

Стъпка 3. Попълнете информацията колкото е възможно повече

Име на държава (двубуквен код) [AU]: НАС



Име на щат или провинция (пълно име) [Some-State]:
CA


Име на населено място (напр. Град) :
Силиконовата долина


Име на организацията (напр. Фирма) [Internet Widgits Pty Ltd]:
wikiHow, Inc.

Име на организационната единица (напр. Раздел) :

Общо име (напр. FQDN на сървъра или вашето име) :

Имейл адрес : Бъдете свой собствен сертифициращ орган Стъпка 4 Стъпка 4. Самоподпишете вашия сертификат: openssl ca -extensions v3_ca -out сървър. CA -подписан.crt -keyfile сървър. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr Обяснените опции: ca - Зарежда модула на Центъра за сертифициране -extension v3_ca -Зарежда разширението v3_ca, задължително за използване в съвременните браузъри -out server. CA -sign.crt -Името на вашия нов подписан ключ -keyfile server. CA.key - Частният ключ, който сте създали в стъпка 1 -verbose - показва подробности за заявката, докато се създава (по избор) -selfsign - Казва на openssl, че използвате същия ключ за подписване на заявката -md sha256 - Алгоритъмът за криптиране, който да се използва за съобщението. (Ако не знаете какво е това, не променяйте това. Трябва да промените това само ако знаете какво правите) -enddate 330630235959Z - Крайната дата на сертификата. Нотацията е YYMMDDHHMMSSZ, където Z е в GMT, понякога известен като „зулуско“време. -infiles server. CA.csr - файлът за заявка за подпис, който сте създали в горната стъпка. Бъдете свой собствен сертифициращ орган Стъпка 5 Стъпка 5. Проверете вашия CA сертификат openssl x509 -noout -text -in server. CA.crt Обяснените опции: x509 - Зарежда модула x509 за проверка на подписаните сертификати. -noout - Не извеждайте кодирания текст -text - извежда информацията на екрана -in server. CA.crt - Заредете подписания сертификат Файлът server. CA.crt може да бъде разпространен на всеки, който ще използва вашия уебсайт или ще използва сертификати, които планирате да подпишете. Част 2 от 4: Създаване на SSL сертификати за услуга, като Apache Бъдете ваш собствен сертифициращ орган Стъпка 6 Стъпка 1. Създайте частен ключ openssl genrsa -des3 -out server.apache.key 2048 Обяснените опции: openssl - името на софтуера genrsa - създава нов частен ключ -des3 - шифроване на ключа с помощта на DES шифъра -out server.apache.key - името на новия ви ключ 2048 - дължината, в битове, на частния ключ (моля, вижте предупрежденията) Съхранявайте този сертификат и паролата на безопасно място. Бъдете свой собствен сертифициращ орган Стъпка 7 Стъпка 2. Създайте заявка за подписване на сертификат openssl req -verbose -нов -ключ server.apache.key -out server.apache.csr -sha256 Обяснените опции: req - Създава заявка за подписване -verbose - показва подробности за заявката, докато се създава (по избор) -ново - създава нова заявка -key server.apache.key - Частният ключ, който току -що създадохте по -горе. -out server.apache.csr - Името на файла на искането за подписване, което създавате sha256 - Алгоритъмът за криптиране, който да използвате за заявки за подписване (Ако не знаете какво е това, не променяйте това. Трябва да промените това само ако знаете какво правите) Бъдете свой собствен сертифициращ орган Стъпка 8 Стъпка 3. Използвайте вашия CA сертификат, за да подпишете новия ключ openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr Обяснените опции: ca - Зарежда модула на Центъра за сертифициране -out server.apache.pem - Името на файла на подписания сертификат -keyfile server. CA.key - Името на файла на CA сертификата, който ще подписва заявката -infiles server.apache.csr - Името на файла на заявката за подписване на сертификат Бъдете свой собствен сертифициращ орган Стъпка 9 Стъпка 4. Попълнете информацията колкото е възможно повече: Име на държава (двубуквен код) [AU]: НАС Име на щат или провинция (пълно име) [Some-State]: CA Име на населено място (напр. Град) : Силиконовата долина Име на организацията (напр. Фирма) [Internet Widgits Pty Ltd]: wikiHow, Inc. Име на организационната единица (напр. Раздел) : Общо име (напр. FQDN на сървъра или вашето име) : Имейл адрес : Бъдете свой собствен сертифициращ орган Стъпка 10 Стъпка 5. Запазете копие на личния си ключ на друго място Създайте частен ключ без парола, за да попречите на Apache да ви подкани за парола: openssl rsa -in server.apache.key -out server.apache.unsecured.key Обяснените опции: rsa - Изпълнява програмата за криптиране на RSA -in server.apache.key - Името на ключа, което искате да конвертирате. -out server.apache.unsecured.key - Името на файла на новия незащитен ключ Бъдете ваш собствен сертифициращ орган Стъпка 11 Стъпка 6. Използвайте получения файл server.apache.pem заедно с частния ключ, който сте генерирали в стъпка 1, за да конфигурирате вашия apache2.conf файл Част 3 от 4: Създаване на потребителски сертификат за удостоверяване Бъдете свой собствен сертифициращ орган Стъпка 12 Стъпка 1. Следвайте всички стъпки в _Създаване на SSL сертификати за Apache_ Бъдете ваш собствен сертифициращ орган Стъпка 13 Стъпка 2. Преобразувайте подписания си сертификат в PKCS12 openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12 Част 4 от 4: Създаване на S/MIME имейл сертификати Бъдете ваш собствен сертифициращ орган Стъпка 14 Стъпка 1. Създайте частен ключ openssl genrsa -des3 -out private_email.key 2048 Бъдете свой собствен сертифициращ орган Стъпка 15 Стъпка 2. Създайте заявка за подписване на сертификат openssl req -нов -ключ private_email.key -out private_email.csr Бъдете ваш собствен сертифициращ орган Стъпка 16 Стъпка 3. Използвайте вашия CA сертификат, за да подпишете новия ключ openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr Бъдете ваш собствен сертифициращ орган Стъпка 17 Стъпка 4. Конвертирайте сертификата в PKCS12 openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12 Бъдете ваш собствен сертифициращ орган Стъпка 18 Стъпка 5. Създайте сертификат за публичен ключ за разпространение openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "Публичен ключ на WikiHow" Съвети Можете да променяте съдържанието на PEM ключове, като издадете следната команда: openssl x509 -noout -text -in certificate.pem Предупреждения 1024-битовите ключове се считат за остарели. 2048-битовите ключове се считат за сигурни за потребителски сертификати до 2030 г., но се считат за недостатъчни за root сертификати. Помислете за тези уязвимости при създаването на вашите сертификати. По подразбиране повечето съвременни браузъри ще показват предупреждение „Ненадежден сертификат“, когато някой посети вашия сайт. Имаше много дебати относно формулировката на тези предупреждения, тъй като нетехническите потребители могат да бъдат уловени неочаквано. Често е най -добре да използвате основен орган, така че потребителите да не получават предупрежденията.