Parādiet savas vietnes apmeklētājiem, ka uztverat viņu drošību nopietni, izveidojot savu SSL sertifikātu, izmantojot OpenSSL.
SSL/TLS sertifikāti ir būtiski jūsu tīmekļa lietojumprogrammas vai servera aizsardzībai. Lai gan vairākas uzticamas sertifikātu iestādes nodrošina SSL/TLS sertifikātus par maksu, ir iespējams arī ģenerēt pašparakstītu sertifikātu, izmantojot OpenSSL. Pat ja pašparakstītiem sertifikātiem nav uzticamas iestādes apstiprinājuma, tie joprojām var šifrēt jūsu tīmekļa trafiku. Tātad, kā jūs varat izmantot OpenSSL, lai savai vietnei vai serverim ģenerētu pašparakstītu sertifikātu?
Kā instalēt OpenSSL
OpenSSL ir atvērtā pirmkoda programmatūra. Bet, ja jums nav programmēšanas pieredzes un jūs uztraucaties par veidošanas procesiem, tam ir nedaudz tehniska iestatīšana. Lai no tā izvairītos, varat lejupielādēt OpenSSL koda jaunāko versiju, kas ir pilnībā kompilēta un gatava instalēšanai, no slproweb vietne.
Šeit atlasiet jaunākās OpenSSL versijas MSI paplašinājumu, kas piemērots jūsu sistēmai.
Piemēram, apsveriet OpenSSL at D:\OpenSSL-Win64. Jūs varat to mainīt. Ja instalēšana ir pabeigta, atveriet PowerShell kā administratoru un dodieties uz apakšmapi ar nosaukumu atkritumu tvertne mapē, kurā instalējāt OpenSSL. Lai to izdarītu, izmantojiet šādu komandu:
cd"D:\OpenSSL-Win64\bin"
Tagad jums ir piekļuve openssl.exe un var to palaist, kā vien vēlaties.
Ģenerējiet savu privāto atslēgu, izmantojot OpenSSL
Lai izveidotu pašparakstītu sertifikātu, jums būs nepieciešama privātā atslēga. Tajā pašā bin mapē varat izveidot šo privāto atslēgu, ievadot šo komandu programmā PowerShell, kad esat atvēris kā administrators.
openssl.exegenrsa-des3- ārāmyPrivateKey.atslēga 2048
Šī komanda ģenerēs 2048 bitu garu, 3DES šifrētu RSA privāto atslēgu, izmantojot OpenSSL. OpenSSL lūgs ievadīt paroli. Jums vajadzētu izmantot a spēcīga un neaizmirstama parole. Divreiz ievadot vienu un to pašu paroli, jūs būsiet veiksmīgi ģenerējis savu RSA privāto atslēgu.
Jūs varat atrast savu privāto RSA atslēgu ar nosaukumu myPrivateKey.key.
Kā izveidot CSR failu, izmantojot OpenSSL
Ar izveidoto privāto atslēgu vien nepietiks. Turklāt, lai izveidotu pašparakstītu sertifikātu, ir nepieciešams CSR fails. Lai izveidotu šo CSR failu, programmā PowerShell jāievada jauna komanda:
openssl.exereq- jauns- atslēgamyPrivateKey.atslēga- ārāmyCertRequest.csr
OpenSSL arī prasīs ievadīto paroli, lai šeit ģenerētu privāto atslēgu. Tas turpmāk pieprasīs jūsu juridisko un personisko informāciju. Esiet uzmanīgi, ievadot šo informāciju pareizi.
Turklāt visas līdz šim veiktās darbības ir iespējams veikt ar vienu komandrindu. Ja izmantojat tālāk norādīto komandu, varat vienlaikus ģenerēt gan savu privāto RSA atslēgu, gan CSR failu:
openssl.exereq- jauns-jaunā atslēgarsa:2048-mezgli-atslēgamyPrivateKey2.atslēga- ārāmyCertRequest2.csr
Tagad jūs varēsit redzēt failu ar nosaukumu myCertRequest.csr attiecīgajā direktorijā. Šajā jūsu izveidotajā CSR failā ir ietverta informācija par:
- Iestāde, kas pieprasa sertifikātu.
- Parastais nosaukums (t.i., domēna nosaukums).
- Publiskā atslēga (šifrēšanas nolūkiem).
Jūsu izveidotie CSR faili ir jāpārskata un jāapstiprina noteiktām iestādēm. Lai to izdarītu, CSR fails ir jānosūta tieši sertifikācijas iestādei vai citām starpniecības iestādēm.
Šīs iestādes un brokeru mājas pārbauda, vai jūsu sniegtā informācija ir pareiza, atkarībā no vēlamā sertifikāta veida. Iespējams, ka daži dokumenti ir jānosūta arī bezsaistē (fakss, pasts utt.), lai pierādītu, vai informācija ir pareiza.
Sertifikāta sagatavošana, ko veic sertifikācijas iestāde
Nosūtot izveidoto CSR failu derīgai sertifikācijas iestādei, sertifikācijas iestāde paraksta failu un nosūta sertifikātu pieprasītājai iestādei vai personai. To darot, sertifikācijas iestāde (pazīstama arī kā CA) arī izveido PEM failu no CSR un RSA failiem. PEM fails ir pēdējais fails, kas nepieciešams pašparakstītam sertifikātam. Šie posmi to nodrošina SSL sertifikāti joprojām ir sakārtoti, uzticami un droši.
Varat arī pats izveidot PEM failu, izmantojot OpenSSL. Tomēr tas var radīt potenciālu risku jūsu sertifikāta drošībai, jo tā autentiskums vai derīgums nav skaidrs. Turklāt tas, ka jūsu sertifikātu nevar pārbaudīt, dažās lietojumprogrammās un vidēs var nedarboties. Tātad šim pašparakstīta sertifikāta piemēram mēs varam izmantot viltotu PEM failu, taču, protams, tas nav iespējams reālajā pasaulē.
Pagaidām iedomājieties PEM failu ar nosaukumu myPemKey.pem nāk no oficiālas sertifikācijas iestādes. Varat izmantot šo komandu, lai izveidotu sev PEM failu:
opensslx509-piepras-sha256- dienas 365 -inmyCertRequest.csr- paraksta atslēgamyPrivateKey.atslēga- ārāmyPemKey.pem
Ja jums būtu šāds fails, komanda, kas jāizmanto pašparakstītam sertifikātam, būtu:
openssl.exex509-piepras- dienas 365 -inmyCertRequest.csr- paraksta atslēgamyPemKey.pem- ārāmySignedCert.cer
Šī komanda nozīmē, ka CSR fails ir parakstīts ar privāto atslēgu ar nosaukumu myPemKey.pem, derīga 365 dienas. Rezultātā jūs izveidojat sertifikāta failu ar nosaukumu mySignedCert.cer.
Pašparakstīta sertifikāta informācija
Varat izmantot šo komandu, lai pārbaudītu informāciju par izveidoto pašparakstīto sertifikātu:
openssl.exex509- nē- teksts-inmySignedCert.cer
Tas parādīs visu sertifikātā ietverto informāciju. Ir iespējams redzēt daudz informācijas, piemēram, uzņēmuma vai personas informāciju, kā arī sertifikātā izmantotos algoritmus.
Ko darīt, ja sertifikācijas iestāde nav parakstījusi pašparakstītus sertifikātus?
Ir svarīgi pārbaudīt izveidotos pašparakstītos sertifikātus un apstiprināt, ka tie ir droši. Parasti to dara trešās puses sertifikātu nodrošinātājs (t.i., CA). Ja jums nav sertifikāta, ko parakstījusi un apstiprinājusi trešās puses sertifikātu iestāde, un jūs izmantojat šo neapstiprināto sertifikātu, radīsies dažas drošības problēmas.
Hakeri var izmantot jūsu pašparakstīto sertifikātu, lai izveidotu, piemēram, viltotu vietnes kopiju. Tas ļauj uzbrucējam nozagt lietotāju informāciju. Viņi var arī iegūt jūsu lietotāju lietotājvārdus, paroles vai citu sensitīvu informāciju.
Lai nodrošinātu lietotāju drošību, vietnēm un citiem pakalpojumiem parasti ir jāizmanto sertifikāti, kurus faktiski ir sertificējusi CA. Tas nodrošina pārliecību, ka lietotāja dati ir šifrēti un tiek izveidots savienojums ar pareizo serveri.
Pašparakstītu sertifikātu izveide operētājsistēmā Windows
Kā redzat, pašparakstīta sertifikāta izveide operētājsistēmā Windows ar OpenSSL ir diezgan vienkārša. Bet paturiet prātā, ka jums būs nepieciešams arī sertifikācijas iestāžu apstiprinājums.
Tomēr šāda sertifikāta izveide parāda, ka jūs nopietni uztverat lietotāju drošību, kas nozīmē, ka viņi vairāk uzticēsies jums, jūsu vietnei un jūsu vispārējam zīmolam.