Ako vytvoriť certifikát s vlastným podpisom pomocou OpenSSL

Ako vytvoriť certifikát s vlastným podpisom pomocou OpenSSL
Čitatelia ako vy pomáhajú podporovať MUO. Keď uskutočníte nákup pomocou odkazov na našej stránke, môžeme získať pridruženú províziu. Čítaj viac.

SSL/TLS certifikáty sú nevyhnutné na zabezpečenie vašej webovej aplikácie alebo servera. Zatiaľ čo niekoľko spoľahlivých certifikačných autorít poskytuje certifikáty SSL/TLS za poplatok, pomocou OpenSSL je tiež možné vygenerovať certifikát s vlastným podpisom. Aj keď certifikáty s vlastným podpisom nemajú schválenie dôveryhodnou autoritou, stále môžu šifrovať váš webový prenos. Ako teda môžete použiť OpenSSL na vygenerovanie certifikátu s vlastným podpisom pre váš web alebo server?





VYUŽITIE VIDEA DŇA POKRAČUJTE V OBSAHU POKRAČOVANÍM

Ako nainštalovať OpenSSL

OpenSSL je softvér s otvoreným zdrojom. Ale ak nemáte programátorské vzdelanie a máte obavy z procesov zostavovania, má to trochu technické nastavenie. Aby ste tomu zabránili, môžete si stiahnuť najnovšiu verziu kódu OpenSSL, plne skompilovanú a pripravenú na inštaláciu stránka slproweb .



ako sťahovať filmy amazon prime na počítač

Tu vyberte rozšírenie MSI najnovšej verzie OpenSSL vhodné pre váš systém.





Snímka obrazovky z webovej stránky slproweb na stiahnutie OpenSSL

Ako príklad zvážte OpenSSL na D:\OpenSSL-Win64 . Môžete to zmeniť. Ak je inštalácia dokončená, otvorte PowerShell ako správca a prejdite do podpriečinku s názvom kôš v priečinku, do ktorého ste nainštalovali OpenSSL. Ak to chcete urobiť, použite nasledujúci príkaz:

 cd 'D:\OpenSSL-Win64\bin'

Teraz máte prístup k openssl.exe a môžete ho spustiť, ako chcete.



Spustite príkaz version, aby ste zistili, či je nainštalovaný openssl

Vygenerujte si svoj súkromný kľúč pomocou OpenSSL

Na vytvorenie certifikátu s vlastným podpisom budete potrebovať súkromný kľúč. V rovnakom priečinku bin môžete tento súkromný kľúč vytvoriť zadaním nasledujúceho príkazu v prostredí PowerShell po otvorení ako správca.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Tento príkaz vygeneruje 2048-bitový súkromný kľúč RSA šifrovaný 3DES cez OpenSSL. OpenSSL vás požiada o zadanie hesla. Mali by ste použiť a silné a zapamätateľné heslo . Po zadaní rovnakého hesla dvakrát, budete mať úspešne vygenerovaný súkromný kľúč RSA.



Výstup príkazu použitého na vygenerovanie kľúča RSA

Svoj súkromný kľúč RSA nájdete s názvom myPrivateKey.key .

Ako vytvoriť súbor CSR pomocou OpenSSL

Súkromný kľúč, ktorý vytvoríte, sám o sebe nebude stačiť. Okrem toho potrebujete súbor CSR na vytvorenie certifikátu s vlastným podpisom. Ak chcete vytvoriť tento súbor CSR, musíte zadať nový príkaz v prostredí PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL si tiež vyžiada heslo, ktoré ste zadali na vygenerovanie súkromného kľúča tu. Ďalej si vyžiada vaše právne a osobné údaje. Dávajte pozor, aby ste tieto informácie zadali správne.

Výstup príkazu použitého na vygenerovanie súboru CSR

Všetky doterajšie operácie je navyše možné vykonávať pomocou jediného príkazového riadku. Ak použijete príkaz uvedený nižšie, môžete vygenerovať svoj súkromný kľúč RSA aj súbor CSR naraz:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Výstup príkazu na vytvorenie súborov RSA a CSR naraz

Teraz budete môcť vidieť súbor s názvom myCertRequest.csr v príslušnom adresári. Tento súbor CSR, ktorý vytvoríte, obsahuje niektoré informácie o:

  • Inštitúcia žiadajúca o certifikát.
  • Common Name (t.j. názov domény).
  • Verejný kľúč (na účely šifrovania).

Súbory CSR, ktoré vytvoríte, musia byť skontrolované a schválené určitými orgánmi. Na tento účel musíte poslať súbor CSR priamo certifikačnej autorite alebo iným sprostredkovateľským inštitúciám.

Tieto úrady a maklérske domy skúmajú, či sú informácie, ktoré poskytujete, správne, v závislosti od povahy požadovaného certifikátu. Možno budete musieť odoslať niektoré dokumenty offline (fax, pošta atď.), aby ste dokázali, či sú informácie správne.

Príprava certifikátu certifikačnou autoritou

Keď odošlete súbor CSR, ktorý ste vytvorili, platnej certifikačnej autorite, certifikačná autorita súbor podpíše a certifikát odošle žiadajúcej inštitúcii alebo osobe. Pritom certifikačná autorita (známa aj ako CA) vytvorí súbor PEM zo súborov CSR a RSA. Súbor PEM je posledný súbor požadovaný pre certifikát s vlastným podpisom. Tieto etapy to zabezpečujú Certifikáty SSL zostávajú organizované, spoľahlivé a bezpečné .

vytlačiť zoznam súborov v priečinku a podpriečinkoch Windows 10

Súbor PEM môžete vytvoriť aj sami pomocou OpenSSL. To však môže predstavovať potenciálne riziko pre bezpečnosť vášho certifikátu, pretože pravosť alebo platnosť certifikátu nie je jasná. Tiež skutočnosť, že váš certifikát nie je overiteľný, môže spôsobiť, že nebude fungovať v niektorých aplikáciách a prostrediach. Takže pre tento príklad certifikátu s vlastným podpisom môžeme použiť falošný súbor PEM, ale v reálnom svete to, samozrejme, nie je možné.

Zatiaľ si predstavte súbor PEM s názvom myPemKey.pem pochádza od oficiálnej certifikačnej autority. Na vytvorenie súboru PEM pre seba môžete použiť nasledujúci príkaz:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Ak by ste mali takýto súbor, príkaz, ktorý by ste mali použiť pre svoj vlastnoručne podpísaný certifikát, by bol:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Tento príkaz znamená, že súbor CSR je podpísaný súkromným kľúčom s názvom myPemKey.pem , platnosť 365 dní. V dôsledku toho vytvoríte súbor certifikátu s názvom mySelfSignedCert.cer .

Obrázok, že v priečinku existuje certifikát s vlastným podpisom

Informácie o certifikáte s vlastným podpisom

Na kontrolu informácií na vlastnoručne podpísanom certifikáte, ktorý ste vytvorili, môžete použiť nasledujúci príkaz:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Zobrazí sa vám všetky informácie obsiahnuté v certifikáte. Je možné vidieť veľa informácií, ako sú informácie o spoločnosti alebo osobné údaje a algoritmy použité v certifikáte.

Čo ak certifikáty s vlastným podpisom nie sú podpísané certifikačnou autoritou?

Je nevyhnutné skontrolovať certifikáty s vlastným podpisom, ktoré vytvoríte, a potvrdiť, že sú bezpečné. Zvyčajne to robí poskytovateľ certifikátov tretej strany (t. j. CA). Ak nemáte certifikát podpísaný a schválený certifikačnou autoritou tretej strany a používate tento neschválený certifikát, narazíte na určité bezpečnostné problémy.

Hackeri môžu použiť váš certifikát s vlastným podpisom napríklad na vytvorenie falošnej kópie webovej stránky. To umožňuje útočníkovi ukradnúť informácie používateľov. Môžu tiež získať používateľské mená, heslá alebo iné citlivé informácie vašich používateľov.

Na zaistenie bezpečnosti používateľov musia webové stránky a ďalšie služby zvyčajne používať certifikáty, ktoré sú skutočne certifikované certifikačnou autoritou. To poskytuje záruku, že údaje používateľa sú šifrované a že sa pripájajú k správnemu serveru.

Vytváranie certifikátov s vlastným podpisom v systéme Windows

Ako vidíte, vytvorenie certifikátu s vlastným podpisom v systéme Windows s OpenSSL je pomerne jednoduché. Majte však na pamäti, že budete potrebovať aj súhlas certifikačných autorít.

Vyhotovenie takéhoto certifikátu však ukazuje, že beriete bezpečnosť používateľov vážne, čo znamená, že budú viac dôverovať vám, vašej stránke a vašej celkovej značke.