Кез келген ірі сертификаттау орталығынан (CA) SSL сертификатын алу $ 100 және одан жоғары болуы мүмкін. Жаңартуларға барлық бекітілген ОА -ға 100% сенуге болмайтынын көрсететін жаңалықтарды қосыңыз, және сіз өзіңіздің куәліктер орталығыңыз бола отырып, белгісіздікті айналып өтіп, шығындарды жоюды шеше аласыз.
Қадамдар
4 бөлімнің 1 бөлігі: CA сертификатын құру
Қадам 1. Келесі пәрменді шығару арқылы ОА жеке кілтін жасаңыз
-
openssl genrsa -des3 -out server. CA.key 2048
-
Опциялар түсіндірілді
- openssl - бағдарламалық жасақтаманың атауы
- genrsa - жаңа жеке кілт жасайды
- -des3 - кілтті DES шифры көмегімен шифрлайды
- -out server. CA.key - жаңа кілтіңіздің атауы
- 2048 - жеке кілт ұзындығы, битпен (ескертуді қараңыз)
- Бұл сертификат пен құпия сөзді қауіпсіз жерде сақтаңыз.
Қадам 2. Сертификатқа қол қою туралы сұранысты жасаңыз
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Опциялар түсіндірілді:
- req - қол қою сұранысын жасайды
- -verbose - сізге сұраныс жасалып жатқан кездегі мәліметтерді көрсетеді (міндетті емес)
- -new - жаңа сұраныс жасайды
- -key server. CA.key - жоғарыда сіз жасаған жеке кілт.
- -out server. CA.csr - Сіз жасайтын қол қою сұрауының файл атауы
- sha256 - сұраныстарға қол қою үшін қолданылатын шифрлау алгоритмі (егер сіз бұл не екенін білмесеңіз, оны өзгертпеңіз. Сіз мұны не істеп жатқаныңызды білсеңіз ғана өзгертуіңіз керек)
Қадам 3. Ақпаратты мүмкіндігінше толтырыңыз
-
Елдің атауы (2 әріптік код) [AU]:
АҚШ
-
Штат немесе провинция атауы (толық атауы) [Кейбір штат]:
CA
-
Елді мекеннің атауы (мысалы, қала) :
Кремний алқабы
-
Ұйым атауы (мысалы, компания) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Ұйым бірлігінің атауы (мысалы, бөлім) :
-
Жалпы атау (мысалы, FQDN сервері немесе сіздің атыңыз) :
-
Электрондық пошта :
Қадам 4. Сертификатқа өзіңіз қол қойыңыз:
-
openssl ca -extensions v3_ca -out server. CA -signed.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Опциялар түсіндірілді:
- ca - Certificate Authority модулін жүктейді
- v3_ca кеңейтімі -v3_ca кеңейтімін жүктейді, қазіргі браузерлерде қолдану қажет.
- -out server. CA -signed.crt -Сіздің жаңа қол қойылған кілтіңіздің атауы
- -keyfile server. CA.key - 1 -қадамда жасаған жеке кілт
- -verbose - сұраныс туралы егжей -тегжейлі ақпаратты көрсетеді (міндетті емес)
- -Selfsign - сұрауға қол қою үшін сол кілтті қолданғаныңызды openssl -ге хабарлайды
- -md sha256 - Хабарлама үшін қолданылатын шифрлау алгоритмі. (Егер сіз бұл не екенін білмесеңіз, оны өзгертпеңіз. Сіз мұны не істеп жатқаныңызды білсеңіз ғана өзгертуіңіз керек)
- -enddate 330630235959Z - Сертификаттың аяқталу күні. Белгілеу YYMMDDHHMMSSZ, онда Z GMT -те, кейде «Зулу» уақыты деп аталады.
- -infiles server. CA.csr - жоғарыдағы қадамды жасаған қол қою сұранысының файлы.
5 -қадам. CA сертификатын тексеріңіз
- openssl x509 -noout -text -inver. CA.crt ішінде
-
Опциялар түсіндірілді:
- x509 - қол қойылған сертификаттарды тексеру үшін x509 модулін жүктейді.
- -noout - кодталған мәтінді шығармаңыз
- -мәтін - ақпаратты экранда шығарады
- -in server. CA.crt - Қол қойылған куәлікті жүктеңіз
- Server. CA.crt файлы сіздің веб -сайтыңызды пайдаланатын немесе сіз қол қоюды жоспарлаған сертификаттарды қолданатын кез келген адамға таратылуы мүмкін.
4/2 бөлігі: Apache сияқты қызмет үшін SSL сертификаттарын құру
Қадам 1. Жеке кілт жасаңыз
-
openssl genrsa -des3 -out server.apache.key 2048
-
Опциялар түсіндірілді:
- openssl - бағдарламалық жасақтаманың атауы
- genrsa - жаңа жеке кілт жасайды
- -des3 - кілтті DES шифры көмегімен шифрлайды
- -out server.apache.key - жаңа кілтіңіздің атауы
- 2048 - жеке кілт ұзындығы, битпен (ескертуді қараңыз)
- Бұл сертификат пен құпия сөзді қауіпсіз жерде сақтаңыз.
2 -қадам. Сертификатқа қол қою сұрауын жасаңыз
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Опциялар түсіндірілді:
- req - қол қою сұранысын жасайды
- -verbose - сізге сұраныс жасалып жатқан кездегі мәліметтерді көрсетеді (міндетті емес)
- -new - жаңа сұраныс жасайды
- -key server.apache.key - жоғарыда сіз жасаған жеке кілт.
- -out server.apache.csr - Сіз жасайтын қол қою сұрауының файл атауы
- sha256 - сұраныстарға қол қою үшін қолданылатын шифрлау алгоритмі (егер сіз бұл не екенін білмесеңіз, оны өзгертпеңіз. Сіз мұны не істеп жатқаныңызды білсеңіз ғана өзгертуіңіз керек)
Қадам 3. Жаңа кілтке қол қою үшін CA сертификатын пайдаланыңыз
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Опциялар түсіндірілді:
- ca - Certificate Authority модулін жүктейді
- -out server.apache.pem - Файлға қол қойылған куәлік атауы
- -keyfile server. CA.key - сұрауға қол қоятын CA сертификатының файл атауы
- -infiles server.apache.csr - Сертификатқа қол қою сұранысының файл атауы
Қадам 4. Ақпаратты мүмкіндігінше толтырыңыз:
-
Елдің атауы (2 әріптік код) [AU]:
АҚШ
-
Штат немесе провинция атауы (толық атауы) [Кейбір штат]:
CA
-
Елді мекеннің атауы (мысалы, қала) :
Кремний алқабы
-
Ұйым атауы (мысалы, компания) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Ұйым бірлігінің атауы (мысалы, бөлім) :
-
Жалпы атау (мысалы, FQDN сервері немесе сіздің атыңыз) :
-
Электрондық пошта :
Қадам 5. Жеке кілтіңіздің көшірмесін басқа жерде сақтаңыз
Apache сізге құпия сөз сұрамау үшін құпия сөзсіз жеке кілт жасаңыз:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Опциялар түсіндірілді:
- rsa - RSA шифрлау бағдарламасын іске қосады
- -in server.apache.key - Түрлендіргіңіз келетін кілт атауы.
- -out server.apache.unsecured.key - жаңа қорғалмаған кілттің файл атауы
Қадам 6. Apache2.conf файлын конфигурациялау үшін 1 -қадамда жасаған жеке кілтпен бірге алынған server.apache.pem файлын пайдаланыңыз
4 -тің 3 -бөлігі: Аутентификация үшін пайдаланушы сертификатын құру
Қадам 1. Apache үшін _SL сертификаттарын жасау_бөліміндегі барлық қадамдарды орындаңыз
Қадам 2. Қол қойылған сертификатты PKCS12 түрлендіріңіз
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
4/4 бөлімі: S/MIME электрондық пошта сертификаттарын құру
Қадам 1. Жеке кілт жасаңыз
openssl genrsa -des3 -outable_email.key 2048
Қадам 2. Куәлікке қол қою сұранысын жасаңыз
openssl req -new -key private_email.key -out private_email.csr
Қадам 3. Жаңа кілтке қол қою үшін CA сертификатын пайдаланыңыз
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Қадам 4. Сертификатты PKCS12 түрлендіріңіз
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -off private_email.p12
Қадам 5. Бөлу үшін ашық кілт сертификатын жасаңыз
openssl pkcs12 -export -out public_cert.p12 -private_email.pem -clcerts -nokeys -name «WikiHow ашық кілті»
Кеңестер
Келесі пәрменді шығару арқылы PEM кілттерінің мазмұнын өзгертуге болады: openssl x509 -noout -text -in certificate.pem
Ескертулер
- 1024 биттік кілттер ескірген болып саналады. 2048-биттік кілттер 2030 жылға дейін пайдаланушы сертификаттары үшін қауіпсіз болып саналады, бірақ түбірлік сертификаттар үшін жеткіліксіз болып саналады. Сертификаттарды жасау кезінде осы осалдықтарды ескеріңіз.
- Әдепкі бойынша, қазіргі браузерлердің көпшілігі біреу сіздің сайтқа кіргенде «Сенімсіз сертификат» ескертуін көрсетеді. Бұл ескертулердің тұжырымдамасы бойынша көптеген пікірталастар болды, өйткені техникалық емес пайдаланушыларды абайсызда ұстауға болады. Пайдаланушылар ескертулерді алмауы үшін үлкен билікті қолданған дұрыс.