Itseallekirjoitetun varmenteen luominen OpenSSL:llä

Itseallekirjoitetun varmenteen luominen OpenSSL:llä
Kaltaisesi lukijat auttavat tukemaan MUO:ta. Kun teet ostoksen käyttämällä sivustollamme olevia linkkejä, voimme ansaita kumppanipalkkion. Lue lisää.

SSL/TLS-sertifikaatit ovat välttämättömiä verkkosovelluksesi tai palvelimesi suojaamiseksi. Vaikka useat luotettavat varmenneviranomaiset tarjoavat SSL/TLS-varmenteita maksua vastaan, on myös mahdollista luoda itse allekirjoitettu varmenne OpenSSL:n avulla. Vaikka itse allekirjoitetuilta varmenteilta puuttuu luotetun viranomaisen hyväksyntä, ne voivat silti salata verkkoliikenteesi. Joten kuinka voit käyttää OpenSSL:ää luomaan itseallekirjoitetun varmenteen verkkosivustollesi tai palvelimellesi?





PÄIVÄN VIDEON TEKEMINEN JATKA SISÄLLÖLLÄ VIERÄTÄ

Kuinka asentaa OpenSSL

OpenSSL on avoimen lähdekoodin ohjelmisto. Mutta jos sinulla ei ole ohjelmointitaustaa ja olet huolissasi rakennusprosesseista, siinä on hieman teknisiä asetuksia. Tämän välttämiseksi voit ladata OpenSSL-koodin uusimman version, joka on täysin käännetty ja valmis asennettavaksi, osoitteesta slprowebin sivusto .



Valitse tästä uusimman OpenSSL-version MSI-laajennus, joka sopii järjestelmällesi.





Kuvakaappaus slproweb-verkkosivustolta OpenSSL-latausta varten

Harkitse esimerkiksi OpenSSL:ää osoitteessa D:\OpenSSL-Win64 . Voit muuttaa tätä. Jos asennus on valmis, avaa PowerShell järjestelmänvalvojana ja siirry nimettyyn alikansioon roskakori kansioon, johon asensit OpenSSL:n. Voit tehdä tämän käyttämällä seuraavaa komentoa:

 cd 'D:\OpenSSL-Win64\bin'

Sinulla on nyt pääsy openssl.exe ja voi käyttää sitä miten haluaa.



Suorita version komento nähdäksesi, onko openssl asennettu

Luo yksityinen avaimesi OpenSSL:n avulla

Tarvitset yksityisen avaimen itseallekirjoitetun varmenteen luomiseen. Voit luoda tämän yksityisen avaimen samaan roskakansioon kirjoittamalla seuraavan komennon PowerShellissä, kun olet avannut järjestelmänvalvojana.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Tämä komento luo 2048-bittisen, 3DES-salatun RSA-salatun avaimen OpenSSL:n kautta. OpenSSL pyytää sinua antamaan salasanan. Sinun tulisi käyttää a vahva ja mieleenpainuva salasana . Kun olet syöttänyt saman salasanan kahdesti, olet onnistuneesti luonut yksityisen RSA-avaimesi.



RSA-avaimen luomiseen käytetyn komennon tulos

Löydät yksityisen RSA-avaimesi nimellä myPrivateKey.key .

Kuinka luoda CSR-tiedosto OpenSSL:llä

Luomasi yksityinen avain ei yksinään riitä. Lisäksi tarvitset CSR-tiedoston itseallekirjoitetun varmenteen tekemiseen. Luodaksesi tämän CSR-tiedoston, sinun on kirjoitettava uusi komento PowerShelliin:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL pyytää myös antamaasi salasanaa luodakseen yksityisen avaimen täällä. Se pyytää lisäksi laillisia ja henkilökohtaisia ​​tietojasi. Ole varovainen syöttäessäsi nämä tiedot oikein.

ilmaisia ​​elokuvia ilman rekisteröitymistä tai lataamista
CSR-tiedoston luomiseen käytetyn komennon tulos

Lisäksi on mahdollista tehdä kaikki toistaiseksi tehdyt toiminnot yhdellä komentorivillä. Jos käytät alla olevaa komentoa, voit luoda sekä yksityisen RSA-avaimesi että CSR-tiedoston kerralla:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
RSA- ja CSR-tiedostojen luomiseen käytetty komentotulostus yhdellä kertaa

Voit nyt nähdä tiedoston nimeltä myCertRequest.csr kyseisessä hakemistossa. Tämä luomasi CSR-tiedosto sisältää tietoja seuraavista:

  • Todistuksen pyytävä laitos.
  • Common Name (eli verkkotunnuksen nimi).
  • Julkinen avain (salaustarkoituksiin).

Tiettyjen viranomaisten on tarkistettava ja hyväksyttävä luomasi CSR-tiedostot. Tätä varten sinun on lähetettävä CSR-tiedosto suoraan varmenneviranomaiselle tai muille välittäjälaitoksille.

Nämä viranomaiset ja välitystoimistot tutkivat, ovatko antamasi tiedot oikeita, riippuen haluamasi varmenteen luonteesta. Saatat myös joutua lähettämään joitain asiakirjoja offline-tilassa (faksi, posti jne.) todistaaksesi, ovatko tiedot oikein.

Varmenteen laatiminen varmentajan toimesta

Kun lähetät luomasi CSR-tiedoston voimassa olevalle varmenteen myöntäjälle, varmentaja allekirjoittaa tiedoston ja lähettää varmenteen pyynnön esittäneelle laitokselle tai henkilölle. Näin tehdessään varmentaja (tunnetaan myös nimellä CA) luo myös PEM-tiedoston CSR- ja RSA-tiedostoista. PEM-tiedosto on viimeinen itse allekirjoitettuun varmenteeseen vaadittava tiedosto. Nämä vaiheet varmistavat sen SSL-varmenteet pysyvät järjestettyinä, luotettavina ja turvallisina .

Voit myös luoda PEM-tiedoston itse OpenSSL:llä. Tämä voi kuitenkin muodostaa mahdollisen riskin varmenteen turvallisuudelle, koska sen aitous tai kelpoisuus ei ole selvää. Lisäksi se, että varmennettasi ei voi vahvistaa, saattaa aiheuttaa sen, että se ei toimi joissakin sovelluksissa ja ympäristöissä. Joten tässä itseallekirjoitetun varmenteen esimerkissä voimme käyttää väärennettyä PEM-tiedostoa, mutta tämä ei tietenkään ole mahdollista todellisessa käytössä.

Kuvittele nyt PEM-tiedosto nimeltä myPemKey.pem tulee viralliselta varmenneviranomaiselta. Voit käyttää seuraavaa komentoa luodaksesi PEM-tiedoston itsellesi:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Jos sinulla olisi tällainen tiedosto, komento, jota sinun tulisi käyttää itse allekirjoitetulle varmenteelle, olisi:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Tämä komento tarkoittaa, että CSR-tiedosto on allekirjoitettu yksityisellä avaimella myPemKey.pem , voimassa 365 päivää. Tämän seurauksena luot varmennetiedoston nimeltä mySignedCert.cer .

Kuva, jossa itse allekirjoitettu varmenne on kansiossa

Itse allekirjoitetun varmenteen tiedot

Voit tarkistaa luomasi itseallekirjoitetun varmenteen tiedot seuraavalla komennolla:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Tämä näyttää sinulle kaikki sertifikaatin sisältämät tiedot. On mahdollista nähdä paljon tietoja, kuten yritys- tai henkilötietoja sekä varmenteessa käytetyt algoritmit.

Entä jos varmenteen myöntäjä ei ole allekirjoittanut itse allekirjoitettuja varmenteita?

On tärkeää tarkastaa luomasi itseallekirjoitetut varmenteet ja varmistaa, että ne ovat turvallisia. Kolmannen osapuolen varmenteen toimittaja (eli CA) tekee tämän yleensä. Jos sinulla ei ole kolmannen osapuolen varmenteen myöntäjän allekirjoittamaa ja hyväksymää varmennetta ja käytät tätä hyväksymätöntä varmennetta, kohtaat turvallisuusongelmia.

Hakkerit voivat käyttää itse allekirjoitettua varmennettasi luodakseen esimerkiksi väärennetyn kopion verkkosivustosta. Näin hyökkääjä voi varastaa käyttäjien tietoja. He voivat myös saada haltuunsa käyttäjien käyttäjätunnukset, salasanat tai muut arkaluontoiset tiedot.

Käyttäjien turvallisuuden takaamiseksi verkkosivustojen ja muiden palveluiden on yleensä käytettävä varmenteita, jotka varmentaja on varmentanut. Tämä takaa, että käyttäjän tiedot ovat salattuja ja että ne muodostavat yhteyden oikeaan palvelimeen.

kuinka korjata kannettavan tietokoneen hiirimatto

Itse allekirjoitettujen varmenteiden luominen Windowsissa

Kuten näet, itse allekirjoitetun varmenteen luominen Windowsissa OpenSSL:n avulla on melko yksinkertaista. Mutta muista, että tarvitset myös hyväksynnän varmenneviranomaisilta.

Siitä huolimatta tällaisen varmenteen tekeminen osoittaa, että otat käyttäjien turvallisuuden vakavasti, mikä tarkoittaa, että he luottavat sinuun, sivustoosi ja koko brändiisi enemmän.