Näidake oma saidi külastajatele, et võtate nende turvalisust tõsiselt, luues OpenSSL-i abil oma SSL-sertifikaadi.
SSL/TLS-sertifikaadid on teie veebirakenduse või serveri turvalisuse tagamiseks hädavajalikud. Kuigi mitmed usaldusväärsed sertifitseerimisasutused pakuvad SSL/TLS-sertifikaate tasu eest, on OpenSSL-i abil võimalik genereerida ka iseallkirjastatud sertifikaat. Kuigi iseallkirjastatud sertifikaatidel puudub usaldusväärse asutuse kinnitus, saavad need siiski teie veebiliikluse krüptida. Niisiis, kuidas saate kasutada OpenSSL-i oma veebisaidi või serveri jaoks iseallkirjastatud sertifikaadi loomiseks?
OpenSSL-i installimine
OpenSSL on avatud lähtekoodiga tarkvara. Kuid kui teil pole programmeerimise tausta ja olete mures ehitusprotsesside pärast, on sellel veidi tehniline seadistus. Selle vältimiseks saate veebisaidilt alla laadida OpenSSL-i koodi uusima versiooni, mis on täielikult kompileeritud ja valmis installimiseks. slproweb sait.
Siin valige oma süsteemile sobiv OpenSSL-i uusima versiooni MSI laiendus.
Näiteks kaaluge OpenSSL-i aadressil D:\OpenSSL-Win64. Saate seda muuta. Kui installimine on lõppenud, avage PowerShell administraatorina ja navigeerige nimega alamkausta prügikast kaustas, kuhu installisite OpenSSL-i. Selleks kasutage järgmist käsku:
cd"D:\OpenSSL-Win64\bin"
Nüüd on teil juurdepääs openssl.exe ja saate seda käivitada nii, nagu soovite.
Looge oma privaatvõti OpenSSL-iga
Iseallkirjastatud sertifikaadi loomiseks vajate privaatvõtit. Samas prügikasti kaustas saate selle privaatvõtme luua, sisestades PowerShelli järgmise käsu, kui olete administraatorina avanud.
openssl.exegenrsa-des3- väljamyPrivateKey.võti 2048
See käsk genereerib OpenSSL-i kaudu 2048-bitise 3DES-krüpteeritud RSA privaatvõtme. OpenSSL palub teil sisestada parool. Peaksite kasutama a tugev ja meeldejääv parool. Pärast sama parooli kaks korda sisestamist olete oma RSA privaatvõtme edukalt loonud.
Oma privaatse RSA-võtme leiate nimega myPrivateKey.key.
Kuidas luua OpenSSL-iga CSR-faili
Teie loodud privaatvõtmest üksi ei piisa. Lisaks vajate iseallkirjastatud sertifikaadi loomiseks CSR-faili. Selle CSR-faili loomiseks peate sisestama PowerShelli uue käsu:
openssl.exereq- uus-võtimyPrivateKey.võti- väljamyCertRequest.csr
OpenSSL küsib ka siin privaatvõtme genereerimiseks sisestatud parooli. Lisaks küsib see teie juriidilist ja isiklikku teavet. Olge selle teabe õigesti sisestamisel ettevaatlik.
Lisaks on võimalik kõiki seniseid toiminguid teha ühe käsureaga. Kui kasutate allolevat käsku, saate korraga genereerida nii oma privaatse RSA-võtme kui ka CSR-faili:
openssl.exereq- uus-uus võtirsa:2048-sõlmed- võtme väljavõtemyPrivateKey2.võti- väljamyCertRequest2.csr
Nüüd näete faili nimega myCertRequest.csr vastavas kataloogis. See teie loodud CSR-fail sisaldab teavet järgmise kohta:
- Tõendit taotlev asutus.
- Üldnimi (st domeeninimi).
- Avalik võti (krüpteerimiseks).
Teie loodud CSR-failid peavad teatud asutused üle vaatama ja heaks kiitma. Selleks peate saatma CSR-faili otse sertifitseerimisasutusele või teistele vahendavatele asutustele.
Need ametiasutused ja maaklerimajad kontrollivad, kas teie esitatud teave on õige, olenevalt soovitud sertifikaadi olemusest. Teabe õigsuse tõestamiseks peate võib-olla saatma mõned dokumendid ka võrguühenduseta (faks, post jne).
Sertifikaadi koostamine sertifitseerimisasutuse poolt
Kui saadate loodud CSR-faili kehtivale sertifitseerimisasutusele, allkirjastab sertifitseerimisasutus faili ja saadab sertifikaadi taotlevale asutusele või isikule. Seda tehes loob sertifitseerimisasutus (tuntud ka kui CA) CSR- ja RSA-failidest ka PEM-faili. PEM-fail on viimane iseallkirjastatud sertifikaadi jaoks vajalik fail. Need etapid tagavad selle SSL-sertifikaadid on korrastatud, usaldusväärsed ja turvalised.
Samuti saate OpenSSL-iga ise PEM-faili luua. See võib aga kujutada endast potentsiaalset ohtu teie sertifikaadi turvalisusele, kuna viimase autentsus või kehtivus pole selge. Samuti võib asjaolu, et teie sertifikaati ei saa kontrollida, põhjustada selle, et see mõnes rakenduses ja keskkonnas ei tööta. Nii et selle iseallkirjastatud sertifikaadi näite puhul võime kasutada võltsitud PEM-faili, kuid loomulikult pole see reaalses kasutuses võimalik.
Praegu kujutage ette PEM-faili nimega myPemKey.pem pärineb ametlikult sertifitseerimisasutuselt. Enda jaoks PEM-faili loomiseks saate kasutada järgmist käsku:
opensslx509-req-sha256-päevad 365 -sissemyCertRequest.csr-märkvõtimyPrivateKey.võti- väljamyPemKey.pem
Kui teil oleks selline fail, peaksite ise allkirjastatud sertifikaadi jaoks kasutama järgmist käsku:
openssl.exex509-req-päevad 365 -sissemyCertRequest.csr-märkvõtimyPemKey.pem- väljamySignedCert.cer
See käsk tähendab, et CSR-fail on allkirjastatud privaatvõtmega nimega myPemKey.pem, kehtib 365 päeva. Selle tulemusena loote sertifikaadifaili nimega mySignedCert.cer.
Iseallkirjastatud sertifikaadi teave
Loodud iseallkirjastatud sertifikaadi teabe kontrollimiseks saate kasutada järgmist käsku:
openssl.exex509- noout-tekst-sissemySignedCert.cer
See näitab teile kogu sertifikaadis sisalduvat teavet. Võimalik on näha palju teavet, näiteks ettevõtte või isikuandmeid ning sertifikaadil kasutatud algoritme.
Mis saab siis, kui iseallkirjastatud sertifikaate ei allkirjasta sertifitseerimisasutus?
Oluline on auditeerida loodud iseallkirjastatud sertifikaate ja kinnitada, et need on turvalised. Tavaliselt teeb seda kolmandast osapoolest sertifikaadi pakkuja (st CA). Kui teil pole kolmanda osapoole sertifitseerimisasutuse allkirjastatud ja heaks kiidetud sertifikaati ning te kasutate seda kinnitamata sertifikaati, tekib mõni turvaprobleem.
Häkkerid saavad kasutada teie iseallkirjastatud sertifikaati näiteks veebisaidi võltskoopia loomiseks. See võimaldab ründajal varastada kasutajate teavet. Samuti saavad nad kätte teie kasutajate kasutajanimed, paroolid või muu tundlikku teavet.
Kasutajate turvalisuse tagamiseks peavad veebisaidid ja muud teenused tavaliselt kasutama sertifikaate, mis on tegelikult sertifitseeritud CA poolt. See annab kindluse, et kasutaja andmed on krüptitud ja loovad ühenduse õige serveriga.
Iseallkirjastatud sertifikaatide loomine Windowsis
Nagu näete, on OpenSSL-iga Windowsis iseallkirjastatud sertifikaadi loomine üsna lihtne. Kuid pidage meeles, et vajate ka sertifitseerimisasutuste heakskiitu.
Sellegipoolest näitab sellise sertifikaadi koostamine, et võtate kasutajate turvalisust tõsiselt, mis tähendab, et nad usaldavad teid, teie saiti ja teie üldist brändi rohkem.
