Marrja e një certifikate SSL nga ndonjë prej Autoriteteve kryesore të Certifikatave (CA) mund të kushtojë 100 dollarë e lart. Shtojini përzierjes, lajmet që duket se tregojnë se jo të gjitha AK -ve të krijuara mund të besohen 100% të kohës dhe ju mund të vendosni të anashkaloni pasigurinë dhe të fshini koston duke qenë Autoriteti juaj i Certifikimit.
Hapa
Pjesa 1 nga 4: Krijimi i Certifikatës tuaj CA
Hapi 1. Gjeneroni çelësin privat të CA tuaj duke lëshuar komandën e mëposhtme
-
openssl genrsa -des3 -jashtë serverit. CA.key 2048
-
Opsionet e shpjeguara
- openssl - emri i softuerit
- genrsa - krijon një çelës të ri privat
- -des3 - kriptoni çelësin duke përdorur shifrën DES
- - jashtë server. CA.key - emri i çelësit tuaj të ri
- 2048 - gjatësia, në copa, e çelësit privat (Ju lutemi shikoni paralajmërimet)
- Ruani këtë certifikatë dhe fjalëkalimin në një vend të sigurt.
Hapi 2. Krijoni një kërkesë për nënshkrimin e një certifikate
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Opsionet shpjegohen:
- req - Krijon një kërkesë për nënshkrim
- -verbose - ju tregon detaje rreth kërkesës ashtu siç është duke u krijuar (opsionale)
- -të reja - krijon një kërkesë të re
- -key server. CA.key - Çelësi privat që sapo keni krijuar më sipër.
- -out server. CA.csr - Emri i skedarit të kërkesës për nënshkrim që po krijoni
- sha256 - Algoritmi i kriptimit për t'u përdorur për nënshkrimin e kërkesave (Nëse nuk e dini se çfarë është kjo, mos e ndryshoni këtë. Ju duhet ta ndryshoni këtë vetëm nëse e dini se çfarë po bëni)
Hapi 3. Plotësoni informacionin sa më shumë që të jetë e mundur
-
Emri i Shtetit (kodi me 2 shkronja) [AU]:
SHBA
-
Emri i Shtetit ose Provincës (emri i plotë) [Disa Shtete]:
CA
-
Emri i lokalitetit (p.sh., qyteti) :
Lugina e silikonit
-
Emri i organizatës (p.sh., kompania) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Emri i Njësisë Organizative (p.sh., seksioni) :
-
Emri i zakonshëm (p.sh., serveri FQDN ose emri YT) :
-
Adresa e emailit :
Hapi 4. Nënshkruani vetë certifikatën tuaj:
-
openssl ca -stensione v3_ca -out server. CA -sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -datë 330630235959Z -infiles server. CA.csr
-
Opsionet shpjegohen:
- ca - Ngarkon modulin e Autoritetit të Certifikatës
- -extension v3_ca -Ngarkon shtesën v3_ca, e domosdoshme për t’u përdorur në shfletuesit modern
- -out server. CA -sign.crt -Emri i çelësit tuaj të ri të nënshkruar
- -keyfile server. CA.key - Çelësi privat që keni krijuar në hapin 1
- -verbose - ju tregon detaje rreth kërkesës ashtu siç është duke u krijuar (opsionale)
- -selfsign - I tregon openssl se po përdorni të njëjtin çelës për të nënshkruar kërkesën
- -md sha256 - Algoritmi i kriptimit që do të përdoret për mesazhin. (Nëse nuk e dini se çfarë është kjo, mos e ndryshoni këtë. Ju duhet ta ndryshoni këtë vetëm nëse e dini se çfarë po bëni)
- -datimi 330630235959Z - Data e përfundimit të certifikatës. Shënimi është YYMMDDHHMMSSZ ku Z është në GMT, nganjëherë i njohur si koha "Zulu".
- -infiles server. CA.csr - skedari i kërkesës për nënshkrim që keni krijuar hapin e mësipërm.
Hapi 5. Inspektoni certifikatën tuaj CA
- openssl x509 -poout -text -në server. CA.crt
-
Opsionet shpjegohen:
- x509 - Ngarko modulin x509 për të inspektuar certifikatat e nënshkruara.
- -noout - Mos nxirrni tekstin e koduar
- -tekst - nxjerr informacionin në ekran
- -në server. CA.crt - Ngarko certifikatën e nënshkruar
- Skedari server. CA.crt mund t'i shpërndahet kujtdo që do të përdorë faqen tuaj të internetit ose do të përdorë certifikatat që planifikoni të nënshkruani.
Pjesa 2 nga 4: Krijimi i Certifikatave SSL për një Shërbim, siç është Apache
Hapi 1. Krijoni një çelës privat
-
openssl genrsa -des3 -jashtë serverit.apache.key 2048
-
Opsionet shpjegohen:
- openssl - emri i softuerit
- genrsa - krijon një çelës të ri privat
- -des3 - kriptoni çelësin duke përdorur shifrën DES
- -out server.apache.key - emri i çelësit tuaj të ri
- 2048 - gjatësia, në copa, e çelësit privat (Ju lutemi shikoni paralajmërimet)
- Ruani këtë certifikatë dhe fjalëkalimin në një vend të sigurt.
Hapi 2. Krijoni një kërkesë për nënshkrimin e një certifikate
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Opsionet shpjegohen:
- req - Krijon një kërkesë për nënshkrim
- -verbose - ju tregon detaje rreth kërkesës ashtu siç është duke u krijuar (opsionale)
- -të reja - krijon një kërkesë të re
- -key server.apache.key - Çelësi privat që sapo keni krijuar më sipër.
- -out server.apache.csr - Emri i skedarit të kërkesës për nënshkrim që po krijoni
- sha256 - Algoritmi i kriptimit për t'u përdorur për nënshkrimin e kërkesave (Nëse nuk e dini se çfarë është kjo, mos e ndryshoni këtë. Ju duhet ta ndryshoni këtë vetëm nëse e dini se çfarë po bëni)
Hapi 3. Përdorni certifikatën tuaj CA për të nënshkruar çelësin e ri
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Opsionet shpjegohen:
- ca - Ngarkon modulin e Autoritetit të Certifikatës
- -out server.apache.pem - Emri i skedarit është certifikata e nënshkruar
- -keyfile server. CA.key - Emri i skedarit të certifikatës CA që do të nënshkruajë kërkesën
- -infiles server.apache.csr - Emri i skedarit të Kërkesës për Nënshkrimin e Certifikatës
Hapi 4. Plotësoni informacionin sa më shumë që të jetë e mundur:
-
Emri i Shtetit (kodi me 2 shkronja) [AU]:
SHBA
-
Emri i Shtetit ose Provincës (emri i plotë) [Disa Shtete]:
CA
-
Emri i lokalitetit (p.sh., qyteti) :
Lugina e silikonit
-
Emri i organizatës (p.sh., kompania) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Emri i Njësisë Organizative (p.sh., seksioni) :
-
Emri i zakonshëm (p.sh., serveri FQDN ose emri YT) :
-
Adresa e emailit :
Hapi 5. Ruani një kopje të çelësit tuaj privat në një vend tjetër
Krijoni një çelës privat pa një fjalëkalim për të parandaluar që Apache t'ju kërkojë një fjalëkalim:
-
openssl rsa -në server.apache.key -out server.apache.unsecured.key
-
Opsionet shpjegohen:
- rsa - Drejton programin e kriptimit RSA
- -në server.apache.key - Emri kryesor që dëshironi të konvertoni.
- -out server.apache.unsecured.key - Emri i skedarit të çelësit të ri të pasiguruar
Hapi 6. Përdorni skedarin server.apache.pem që rezulton së bashku me çelësin privat që keni krijuar në hapin 1 për të konfiguruar skedarin tuaj apache2.conf
Pjesa 3 nga 4: Krijimi i një Certifikate Përdoruesi për Vërtetim
Hapi 1. Ndiqni të gjitha hapat në _Krijimi i Certifikatave SSL për Apache_
Hapi 2. Shndërroni certifikatën tuaj të nënshkruar në një PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
Pjesa 4 nga 4: Krijimi i Certifikatave të E-mail S/MIME
Hapi 1. Krijoni një çelës privat
openssl genrsa -des3 -jashtë postës_email.key 2048
Hapi 2. Krijoni një Kërkesë për Nënshkrimin e Certifikatës
openssl req -i ri -key privat_email.key -out private_email.csr
Hapi 3. Përdorni certifikatën tuaj CA për të nënshkruar çelësin e ri
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Hapi 4. Konvertoni certifikatën në PKCS12
openssl pkcs12 -export -në private_email.crt -inkey private_email.key -out private_email.p12
Hapi 5. Krijoni një çertifikatë Publike për shpërndarje
openssl pkcs12 -export -out public_cert.p12 -në privat_email.pem -koncerte -nukje -name "Çelësi Publik i WikiHow"
Këshilla
Ju mund të ndryshoni përmbajtjen e çelësave PEM duke lëshuar komandën e mëposhtme: openssl x509 -noout -text -in certifikatë.pem
Paralajmërimet
- Çelësat 1024-bit konsiderohen të vjetëruar. Çelësat 2048-bit konsiderohen të jenë të sigurt për certifikatat e përdoruesve deri në vitin 2030, por konsiderohen të pamjaftueshme për certifikatat rrënjësore. Konsideroni këto dobësi ndërsa krijoni certifikatat tuaja.
- Si parazgjedhje, shumica e shfletuesve modernë do të shfaqin një paralajmërim "Certifikatë të Besuar" kur dikush viziton faqen tuaj. Ka pasur shumë debat mbi formulimin e këtyre paralajmërimeve, pasi përdoruesit jo-teknikë mund të kapen në befasi. Shpesh është më mirë të përdorni një autoritet kryesor në mënyrë që përdoruesit të mos marrin paralajmërimet.
