Как да създадете самоподписан сертификат с OpenSSL

Как да създадете самоподписан сертификат с OpenSSL
Читатели като вас помагат в подкрепа на MUO. Когато правите покупка чрез връзки на нашия сайт, ние може да спечелим комисионна за партньор. Прочетете още.

SSL/TLS сертификатите са от съществено значение за защитата на вашето уеб приложение или сървър. Въпреки че няколко надеждни сертифициращи органи предоставят SSL/TLS сертификати срещу заплащане, също е възможно да се генерира самоподписан сертификат с помощта на OpenSSL. Въпреки че на самоподписаните сертификати липсва одобрението на доверен орган, те все още могат да криптират вашия уеб трафик. И така, как можете да използвате OpenSSL за генериране на самоподписан сертификат за вашия уебсайт или сървър?





как да предавате компютърни игри на телевизия
MAKEUSEOF ВИДЕО НА ДЕНЯ ПРЕВЪРТЕТЕ, ЗА ДА ПРОДЪЛЖИТЕ СЪС СЪДЪРЖАНИЕТО

Как да инсталирате OpenSSL

OpenSSL е софтуер с отворен код. Но ако нямате опит в програмирането и се притеснявате за процесите на изграждане, той има малко технически настройки. За да избегнете това, можете да изтеглите най-новата версия на кода на OpenSSL, напълно компилиран и готов за инсталиране, от сайтът на slproweb .



Тук изберете MSI разширението на най-новата версия на OpenSSL, подходяща за вашата система.





Екранна снимка от уебсайта на slproweb за изтегляне на OpenSSL

Като пример, разгледайте OpenSSL на D:\OpenSSL-Win64 . Можете да промените това. Ако инсталацията е завършена, отворете PowerShell като администратор и отидете до подпапката с име кошче в папката, в която сте инсталирали OpenSSL. За да направите това, използвайте следната команда:

 cd 'D:\OpenSSL-Win64\bin'

Вече имате достъп до openssl.exe и можете да го стартирате както искате.



Изпълнение на командата версия, за да видите дали openssl е инсталиран

Генерирайте своя частен ключ с OpenSSL

Ще ви е необходим частен ключ, за да създадете самоподписан сертификат. В същата папка bin можете да създадете този частен ключ, като въведете следната команда в PowerShell, след като отворите като администратор.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Тази команда ще генерира 2048-битов, криптиран с 3DES RSA частен ключ чрез OpenSSL. OpenSSL ще ви помоли да въведете парола. Трябва да използвате a силна и запомняща се парола . След като въведете една и съща парола два пъти, ще генерирате успешно своя RSA частен ключ.



Изход на командата, използвана за генериране на RSA ключ

Можете да намерите своя частен RSA ключ с името myPrivateKey.key .

Как да създадете CSR файл с OpenSSL

Създаденият от вас частен ключ няма да е достатъчен сам по себе си. Освен това ви е необходим CSR файл, за да направите самоподписан сертификат. За да създадете този CSR файл, трябва да въведете нова команда в PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL също ще поиска паролата, която сте въвели, за да генерира частния ключ тук. Освен това ще поиска вашата правна и лична информация. Внимавайте да въведете тази информация правилно.

Изход от командата, използвана за генериране на CSR файла

Освен това е възможно да се извършват всички операции досега с един команден ред. Ако използвате командата по-долу, можете да генерирате едновременно личния си RSA ключ и CSR файла:

как да прехвърля пари от Apple в банкова сметка 
 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Изход от команда, използвана за създаване на RSA и CSR файлове наведнъж

Сега ще можете да видите файла с име myCertRequest.csr в съответната директория. Този CSR файл, който създавате, съдържа информация за:

  • Институцията, която иска сертификата.
  • Общо име (т.е. име на домейн).
  • Публичен ключ (за целите на криптиране).

CSR файловете, които създавате, трябва да бъдат прегледани и одобрени от определени органи. За целта трябва да изпратите CSR файла директно до сертифициращия орган или други посреднически институции.

Тези органи и брокерски къщи проверяват дали предоставената от вас информация е правилна в зависимост от естеството на сертификата, който искате. Може също да се наложи да изпратите някои документи офлайн (факс, поща и т.н.), за да докажете дали информацията е правилна.

Изготвяне на удостоверение от Удостоверяващ орган

Когато изпратите CSR файла, който сте създали, до валиден сертифициращ орган, сертифициращият орган подписва файла и изпраща сертификата до искащата институция или лице. По този начин сертифициращият орган (известен също като CA) също създава PEM файл от CSR и RSA файловете. PEM файлът е последният файл, необходим за самоподписан сертификат. Тези етапи гарантират това SSL сертификатите остават организирани, надеждни и сигурни .

Можете също да създадете PEM файл сами с OpenSSL. Това обаче може да представлява потенциален риск за сигурността на вашия сертификат, тъй като автентичността или валидността на последния не е ясна. Освен това фактът, че вашият сертификат не може да бъде проверен, може да доведе до това, че той не работи в някои приложения и среди. Така че за този пример на самоподписан сертификат можем да използваме фалшив PEM файл, но, разбира се, това не е възможно в реална употреба.

Засега си представете PEM файл с име myPemKey.pem идва от официален сертифициращ орган. Можете да използвате следната команда, за да създадете PEM файл за себе си:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Ако имате такъв файл, командата, която трябва да използвате за вашия самоподписан сертификат, ще бъде:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Тази команда означава, че CSR файлът е подписан с частен ключ на име myPemKey.pem , валидна 365 дни. В резултат на това създавате файл със сертификат с име mySelfSignedCert.cer .

Изображение, че в папката съществува самоподписан сертификат

Информация за самоподписан сертификат

Можете да използвате следната команда, за да проверите информацията в самоподписания сертификат, който сте създали:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Това ще ви покаже цялата информация, съдържаща се в сертификата. Възможно е да се види много информация като фирмата или лична информация, както и алгоритми, използвани в сертификата.

Какво става, ако самоподписаните сертификати не са подписани от сертифициращия орган?

От съществено значение е да проверите самоподписаните сертификати, които създавате, и да потвърдите, че те са защитени. Доставчикът на сертификат от трета страна (т.е. CA) обикновено прави това. Ако нямате сертификат, подписан и одобрен от сертифициращ орган на трета страна, и използвате този неодобрен сертификат, ще се натъкнете на някои проблеми със сигурността.

Хакерите могат да използват вашия самоподписан сертификат, за да създадат фалшиво копие на уебсайт, например. Това позволява на атакуващ да открадне информацията на потребителите. Те също могат да се доберат до потребителските имена, паролите или друга чувствителна информация на вашите потребители.

За да се гарантира сигурността на потребителите, уебсайтовете и другите услуги обикновено трябва да използват сертификати, които действително са сертифицирани от CA. Това гарантира, че данните на потребителя са криптирани и се свързват с правилния сървър.

как да направите фона прозрачен в illustrator

Създаване на самоподписани сертификати в Windows

Както можете да видите, създаването на самоподписан сертификат в Windows с OpenSSL е доста просто. Но имайте предвид, че ще ви трябва и одобрение от сертифициращите органи.

Независимо от това, издаването на такъв сертификат показва, че приемате сериозно сигурността на потребителите, което означава, че те ще имат повече доверие във вас, вашия сайт и цялостната ви марка.