Önaláírt tanúsítvány létrehozása OpenSSL-lel

Önaláírt tanúsítvány létrehozása OpenSSL-lel
Az Önhöz hasonló olvasók támogatják a MUO-t. Amikor a webhelyünkön található linkek használatával vásárol, társult jutalékot kaphatunk. Olvass tovább.

Az SSL/TLS-tanúsítványok elengedhetetlenek webalkalmazása vagy szervere biztonságához. Míg számos megbízható tanúsító hatóság költség ellenében biztosít SSL/TLS-tanúsítványokat, lehetőség van önaláírt tanúsítvány létrehozására is az OpenSSL használatával. Annak ellenére, hogy az önaláírt tanúsítványok nem tartalmazzák a megbízható hatóság jóváhagyását, továbbra is titkosíthatják a webforgalmat. Tehát hogyan használhatja az OpenSSL-t önaláírt tanúsítvány létrehozására webhelye vagy szervere számára?





MAKEUSEOF A NAP VIDEÓJA GÖRGÖZSEN A TARTALOM FOLYTATÁSHOZ

Az OpenSSL telepítése

Az OpenSSL egy nyílt forráskódú szoftver. De ha nem rendelkezik programozási háttérrel, és aggódik az építési folyamatok miatt, akkor van egy kis technikai beállítása. Ennek elkerülése érdekében letöltheti az OpenSSL kód legújabb, teljesen lefordított és telepítésre kész verzióját innen. slproweb webhelye .



Itt válassza ki a legújabb OpenSSL-verzió MSI-kiterjesztését, amely megfelel az Ön rendszerének.





Képernyőkép az slproweb webhelyről az OpenSSL letöltéséhez

Példaként vegye figyelembe az OpenSSL at D:\OpenSSL-Win64 . Ezt megváltoztathatod. Ha a telepítés befejeződött, nyissa meg a PowerShellt rendszergazdaként és navigáljon a nevű almappába kuka abban a mappában, ahová telepítette az OpenSSL-t. Ehhez használja a következő parancsot:

 cd 'D:\OpenSSL-Win64\bin'

Most hozzáférhet a openssl.exe és tetszés szerint futtathatja.



Futtassa a version parancsot, hogy ellenőrizze, hogy az openssl telepítve van-e

Hozzon létre privát kulcsot az OpenSSL segítségével

Az önaláírt tanúsítvány létrehozásához privát kulcsra lesz szüksége. Ugyanabban a bin mappában létrehozhatja ezt a privát kulcsot a következő parancs beírásával a PowerShellben, miután rendszergazdaként megnyitotta.

az iphone 7 rendelkezik portré móddal 
 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Ez a parancs egy 2048 bites, 3DES-titkosított RSA privát kulcsot generál OpenSSL-en keresztül. Az OpenSSL jelszó megadását kéri. Használnia kell a erős és megjegyezhető jelszó . Miután kétszer beírta ugyanazt a jelszót, sikeresen létrehozta az RSA privát kulcsát.



Az RSA kulcs generálásához használt parancs kimenete

A privát RSA-kulcsát a névvel találhatja meg myPrivateKey.key .

Hogyan hozzunk létre CSR-fájlt OpenSSL-lel

A létrehozott privát kulcs önmagában nem lesz elegendő. Ezenkívül szüksége van egy CSR-fájlra az önaláírt tanúsítvány elkészítéséhez. A CSR-fájl létrehozásához új parancsot kell beírnia a PowerShellben:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

Az OpenSSL az itt megadott jelszót is kéri a privát kulcs generálásához. A továbbiakban kérni fogja az Ön jogi és személyes adatait. Ügyeljen arra, hogy ezeket az információkat helyesen adja meg.

A CSR-fájl létrehozásához használt parancs kimenete

Ezen kívül lehetőség van az összes eddigi művelet elvégzésére egyetlen parancssorral. Ha az alábbi parancsot használja, egyszerre létrehozhatja privát RSA-kulcsát és a CSR-fájlt is:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Az RSA és CSR fájlok egy menetben történő létrehozásához használt parancs kimenete

Most láthatja a nevű fájlt myCertRequest.csr a megfelelő címtárban. Ez az Ön által létrehozott CSR-fájl a következőkről tartalmaz információkat:

  • Az igazolást kérő intézmény.
  • Közös név (azaz domain név).
  • Nyilvános kulcs (titkosítási célokra).

Az Ön által létrehozott CSR-fájlokat bizonyos hatóságoknak felül kell vizsgálniuk és jóvá kell hagyniuk. Ehhez közvetlenül el kell küldenie a CSR fájlt a tanúsító hatóságnak vagy más közvetítő intézményeknek.

Ezek a hatóságok és brókerházak a kívánt tanúsítvány jellegétől függően megvizsgálják, hogy az Ön által megadott adatok helyesek-e. Előfordulhat, hogy bizonyos dokumentumokat offline is el kell küldenie (fax, e-mail stb.) annak bizonyítására, hogy az adatok helyesek.

hogyan lehet kikapcsolni a zárhangokat az iPhone -on

Tanúsítvány elkészítése a tanúsító hatóság által

Amikor elküldi az Ön által létrehozott CSR-fájlt egy érvényes hitelesítő hatóságnak, a hitelesítő hatóság aláírja a fájlt, és elküldi a tanúsítványt a kérelmező intézménynek vagy személynek. Ennek során a hitelesítésszolgáltató (más néven CA) PEM-fájlt is létrehoz a CSR- és RSA-fájlokból. A PEM-fájl az utolsó fájl, amely egy önaláírt tanúsítványhoz szükséges. Ezek a szakaszok biztosítják Az SSL-tanúsítványok rendszerezettek, megbízhatóak és biztonságosak maradnak .

Ön is létrehozhat PEM fájlt az OpenSSL segítségével. Ez azonban potenciális kockázatot jelenthet a tanúsítvány biztonságára nézve, mivel az utóbbi hitelessége vagy érvényessége nem egyértelmű. Ezenkívül az a tény, hogy a tanúsítvány nem ellenőrizhető, azt okozhatja, hogy bizonyos alkalmazásokban és környezetben nem működik. Tehát az önaláírt tanúsítvány ezen példájához használhatunk hamis PEM-fájlt, de ez természetesen valós használatban nem lehetséges.

Egyelőre képzeljünk el egy nevű PEM-fájlt myPemKey.pem hivatalos tanúsító hatóságtól származik. A következő paranccsal hozhat létre PEM-fájlt magának:

hogyan lehet törölni a ramot a Windows 10 rendszeren 
 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Ha van ilyen fájlja, akkor az önaláírt tanúsítványhoz a következő parancsot kell használnia:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Ez a parancs azt jelenti, hogy a CSR-fájl egy nevű privát kulccsal van aláírva myPemKey.pem , 365 napig érvényes. Ennek eredményeként létrehoz egy tanúsítványfájlt, melynek neve mySignedCert.cer .

Az önaláírt tanúsítvány képe létezik a mappában

Önaláírt tanúsítvány információi

A következő paranccsal ellenőrizheti az önaláírt tanúsítvány adatait:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Ez megmutatja a tanúsítványban szereplő összes információt. Számos információ látható, például a cég vagy a személyes adatok, valamint a tanúsítványban használt algoritmusok.

Mi a teendő, ha az önaláírt tanúsítványokat nem a hitelesítésszolgáltató írja alá?

Alapvető fontosságú az önaláírt tanúsítványok auditálása, és annak megerősítése, hogy biztonságosak. Ezt általában egy harmadik fél tanúsítványszolgáltatója (azaz a CA) teszi meg. Ha nem rendelkezik harmadik fél tanúsító hatóság által aláírt és jóváhagyott tanúsítvánnyal, és ezt a nem jóváhagyott tanúsítványt használja, akkor bizonyos biztonsági problémákba ütközhet.

A hackerek használhatják önaláírt tanúsítványát például egy webhely hamis másolatának létrehozására. Ez lehetővé teszi a támadók számára, hogy ellopják a felhasználók adatait. Ezenkívül hozzájuthatnak a felhasználók felhasználónevéhez, jelszavához vagy más bizalmas információhoz.

A felhasználók biztonságának biztosítása érdekében a webhelyeknek és egyéb szolgáltatásoknak általában olyan tanúsítványokat kell használniuk, amelyeket ténylegesen hitelesítésszolgáltató hitelesített. Ez garantálja, hogy a felhasználó adatai titkosítva vannak, és a megfelelő szerverhez csatlakoznak.

Önaláírt tanúsítványok létrehozása Windows rendszeren

Amint láthatja, egy önaláírt tanúsítvány létrehozása Windows rendszeren OpenSSL használatával meglehetősen egyszerű. De ne feledje, hogy a tanúsító hatóságok jóváhagyására is szüksége lesz.

Mindazonáltal egy ilyen tanúsítvány elkészítése azt mutatja, hogy komolyan veszi a felhasználók biztonságát, ami azt jelenti, hogy jobban megbíznak benned, a webhelyedben és a teljes márkádban.