Om 'n SSL -sertifikaat by enige van die belangrikste sertifikaatowerhede (CA's) te kry, kan $ 100 en hoër beloop. Voeg nuus by, wat blykbaar aandui dat nie alle gevestigde CA's 100% van die tyd vertrou kan word nie, en u kan besluit om die onsekerheid te omseil en die koste uit te wis deur u eie sertifikaatowerheid te wees.
Stappe
Deel 1 van 4: Skep u CA -sertifikaat
Stap 1. Genereer die privaat sleutel van u CA deur die volgende opdrag uit te voer
-
openssl genrsa -des3 -out server. CA.key 2048
-
Die opsies verduidelik
- openssl - die naam van die sagteware
- genrsa - skep 'n nuwe privaat sleutel
- -des3 - enkripteer die sleutel met behulp van die DES -kode
- -out server. CA.key - die naam van u nuwe sleutel
- 2048 - die lengte, in stukkies, van die private sleutel (sien die waarskuwings)
- Bêre hierdie sertifikaat en die wagwoord op 'n veilige plek.
Stap 2. Skep 'n versoek om ondertekening van 'n sertifikaat
-
openssl req -verbose -nuwe -key server. CA.key -out server. CA.csr -sha256
-
Die opsies verduidelik:
- req - Skep 'n ondertekeningsversoek
- -verbose - wys u besonderhede oor die versoek terwyl dit geskep word (opsioneel)
- -nuus - skep 'n nuwe versoek
- -key server. CA.key - Die privaat sleutel wat u net hierbo geskep het.
- -out server. CA.csr - Die lêernaam van die ondertekeningsversoek wat u skep
- sha256 - Die koderingsalgoritme om te gebruik vir die ondertekening van versoeke (as u nie weet wat dit is nie, moet dit nie verander nie. U moet dit slegs verander as u weet wat u doen)
Stap 3. Vul die inligting soveel as moontlik in
-
Landnaam (kode met 2 letters) [AU]:
VSA
-
Naam van die staat of provinsie (volle naam) [deelstaat]:
CA
-
Plaasnaam (bv. Stad) :
Silikon vallei
-
Organisasie Naam (bv. Maatskappy) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organisasie -eenheidnaam (bv. Afdeling) :
-
Algemene naam (bv. Bediener FQDN of U naam) :
-
E-pos adres :
Stap 4. Teken u sertifikaat self:
-
openssl ca -extensions v3_ca -out server. CA -signed.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -endateer 330630235959Z -infiles server. CA.csr
-
Die opsies verduidelik:
- ca - Laai die module Certificate Authority
- -uitbreiding v3_ca -Laai die v3_ca -uitbreiding, 'n moet vir moderne blaaiers
- -out server. CA -signed.crt -Die naam van u nuwe ondertekende sleutel
- -keyfile server. CA.key - Die private sleutel wat u in stap 1 geskep het
- -verbose - wys u besonderhede oor die versoek terwyl dit geskep word (opsioneel)
- -selfsign - Vertel openssl dat u dieselfde sleutel gebruik om die versoek te onderteken
- -md sha256 - Die enkripsie -algoritme wat vir die boodskap gebruik moet word. (As u nie weet wat dit is nie, moet dit nie verander nie. U moet dit slegs verander as u weet wat u doen)
- -einddatum 330630235959Z - Die einddatum van die sertifikaat. Die notasie is YYMMDDHHMMSSZ waar Z in GMT is, soms bekend as "Zoeloe" tyd.
- -infiles server. CA.csr - die ondertekeningsversoeklêer wat u hierbo gemaak het.
Stap 5. Inspekteer u CA -sertifikaat
- openssl x509 -geenout -teks -in server. CA.crt
-
Die opsies verduidelik:
- x509 - Laai die x509 -module om getekende sertifikate te ondersoek.
- -neen - Moenie die gekodeerde teks uitvoer nie
- -teks - voer die inligting op die skerm uit
- -in server. CA.crt - Laai die getekende sertifikaat
- Die server. CA.crt -lêer kan versprei word aan enigiemand wat u webwerf gebruik of sertifikate gebruik wat u wil onderteken.
Deel 2 van 4: Skep SSL -sertifikate vir 'n diens, soos Apache
Stap 1. Skep 'n privaat sleutel
-
openssl genrsa -des3 -out server.apache.key 2048
-
Die opsies verduidelik:
- openssl - die naam van die sagteware
- genrsa - skep 'n nuwe privaat sleutel
- -des3 - enkripteer die sleutel met behulp van die DES -kode
- -out server.apache.key - die naam van u nuwe sleutel
- 2048 - die lengte, in stukkies, van die private sleutel (sien die waarskuwings)
- Bêre hierdie sertifikaat en die wagwoord op 'n veilige plek.
Stap 2. Skep 'n sertifikaatondertekeningsversoek
-
openssl req -verbose -nuwe -key server.apache.key -out server.apache.csr -sha256
-
Die opsies verduidelik:
- req - Skep 'n ondertekeningsversoek
- -verbose - wys u besonderhede oor die versoek terwyl dit geskep word (opsioneel)
- -nuus - skep 'n nuwe versoek
- -key server.apache.key - Die privaat sleutel wat u hierbo geskep het.
- -out server.apache.csr - Die lêernaam van die ondertekeningsversoek wat u skep
- sha256 - Die koderingsalgoritme om te gebruik vir die ondertekening van versoeke (as u nie weet wat dit is nie, moet dit nie verander nie. U moet dit slegs verander as u weet wat u doen)
Stap 3. Gebruik u CA -sertifikaat om die nuwe sleutel te onderteken
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Die opsies verduidelik:
- ca - Laai die module Certificate Authority
- -out server.apache.pem - Die lêernaam is die getekende sertifikaat
- -keyfile server. CA.key - Die lêernaam van die CA -sertifikaat wat die versoek sal onderteken
- -infiles server.apache.csr - Die lêernaam van die versoek om ondertekening van sertifikate
Stap 4. Vul die inligting so veel as moontlik in:
-
Landnaam (kode met 2 letters) [AU]:
VSA
-
Naam van die staat of provinsie (volle naam) [deelstaat]:
CA
-
Plaasnaam (bv. Stad) :
Silikon vallei
-
Organisasie Naam (bv. Maatskappy) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Organisasie -eenheidnaam (bv. Afdeling) :
-
Algemene naam (bv. Bediener FQDN of U naam) :
-
E-pos adres :
Stap 5. Stoor 'n afskrif van u private sleutel op 'n ander plek
Skep 'n privaat sleutel sonder 'n wagwoord om te voorkom dat Apache u 'n wagwoord vra:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Die opsies verduidelik:
- rsa - Bestuur die RSA -enkripsieprogram
- -in server.apache.key - Die sleutelnaam wat u wil omskakel.
- -out server.apache.unsecured.key - Die lêernaam van die nuwe onveilige sleutel
Stap 6. Gebruik die gevolglike server.apache.pem -lêer saam met die private sleutel wat u in stap 1 gegenereer het om u apache2.conf -lêer op te stel
Deel 3 van 4: Die skep van 'n gebruikersertifikaat vir verifikasie
Stap 1. Volg al die stappe in _Creating SSL Certificates for Apache_
Stap 2. Skakel u getekende sertifikaat om na 'n PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
Deel 4 van 4: Skep S/MIME-e-pos sertifikate
Stap 1. Skep 'n privaat sleutel
openssl genrsa -des3 -out private_email.key 2048
Stap 2. Skep 'n versoek om ondertekening van 'n sertifikaat
openssl req -nuwe -key private_email.key -out private_email.csr
Stap 3. Gebruik u CA -sertifikaat om die nuwe sleutel te onderteken
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Stap 4. Skakel die sertifikaat om na PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Stap 5. Skep 'n Public Key -sertifikaat vir verspreiding
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -naam "WikiHow se publieke sleutel"
Wenke
U kan die inhoud van PEM -sleutels wissel deur die volgende opdrag uit te voer: openssl x509 -noout -text -in certificate.pem
Waarskuwings
- 1024-bis sleutels word as verouderd beskou. 2048-bis sleutels word beskou as veilig vir gebruikersertifikate tot 2030, maar word as onvoldoende vir wortelsertifikate beskou. Oorweeg hierdie kwesbaarhede terwyl u u sertifikate skep.
- Die meeste moderne blaaiers sal standaard 'n waarskuwing "Onbetroubare sertifikaat" vertoon wanneer iemand u webwerf besoek. Daar is baie gedebatteer oor die bewoording van hierdie waarskuwings, aangesien nie-tegniese gebruikers onkant betrap kan word. Dit is dikwels die beste om 'n groot gesag te gebruik, sodat gebruikers nie die waarskuwings kry nie.
-
-