SSL სერთიფიკატის მიღება ნებისმიერი ძირითადი სერტიფიკატის ორგანოსგან (CA) შეიძლება აწარმოებდეს $ 100 და ზემოთ. ნარევს დაამატეთ ახალი ამბები, რომლებიც, როგორც ჩანს, მიუთითებს იმაზე, რომ ყველა დადგენილ ცენტრს არ შეიძლება ენდობოდეს დროის 100% და თქვენ შეიძლება გადაწყვიტოთ გაურკვევლობის გვერდის ავლით და გაწმინდოთ ღირებულება თქვენი საკუთარი სასერთიფიკატო ორგანოს ყოფნით.
ნაბიჯები
ნაწილი 1 4 -დან: თქვენი CA სერთიფიკატის შექმნა
ნაბიჯი 1. შექმენით თქვენი CA- ის პირადი გასაღები შემდეგი ბრძანების გაცემით
-
openssl genrsa -des3 -out server. CA.key 2048
-
პარამეტრები განმარტა
- openssl - პროგრამული უზრუნველყოფის სახელი
- genrsa - ქმნის ახალ კერძო გასაღებს
- -des3 - გასაღების დაშიფვრა DES შიფრის გამოყენებით
- -out server. CA.key - თქვენი ახალი გასაღების სახელი
- 2048 - კერძო გასაღების სიგრძე ბიტებში (იხილეთ გაფრთხილებები)
- შეინახეთ ეს სერთიფიკატი და პაროლი უსაფრთხო ადგილას.
ნაბიჯი 2. შექმენით სერტიფიკატის ხელმოწერის მოთხოვნა
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
პარამეტრები განმარტებულია:
- req - ქმნის ხელმოწერის მოთხოვნას
- -verbose - გიჩვენებთ დეტალებს მოთხოვნის შესახებ მისი შექმნისას (სურვილისამებრ)
- -ახალი - ქმნის ახალ მოთხოვნას
- -key server. CA.key - პირადი გასაღები, რომელიც თქვენ შექმენით ზემოთ.
- -out server. CA.csr - ხელმოწერის მოთხოვნის ფაილის სახელი, რომელსაც თქვენ ქმნით
- sha256 - დაშიფვრის ალგორითმი გამოსაყენებლად მოთხოვნაზე (თუ არ იცით რა არის ეს, არ შეცვალოთ ეს. თქვენ უნდა შეცვალოთ ეს მხოლოდ იმ შემთხვევაში, თუ იცით რას აკეთებთ)
ნაბიჯი 3. შეავსეთ ინფორმაცია მაქსიმალურად
-
ქვეყნის სახელი (2 ასო კოდი) [AU]:
ᲩᲕᲔᲜ
-
შტატის ან პროვინციის სახელი (სრული სახელი) [ზოგიერთი სახელმწიფოს]:
CA
-
დასახლების სახელი (მაგ. ქალაქი) :
სილიკონის ველი
-
ორგანიზაციის სახელი (მაგ., კომპანია) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- ორგანიზაციული ერთეულის სახელი (მაგ. განყოფილება) :
-
საერთო სახელი (მაგალითად, სერვერის FQDN ან თქვენი სახელი) :
-
Ელექტრონული მისამართი :
ნაბიჯი 4. ხელი მოაწერეთ თქვენს სერთიფიკატს:
-
openssl ca -გაფართოებები v3_ca -out სერვერი. CA- ხელმოწერილი. crt -keyfile server. CA.key -verbose -selfsign -md sha256 -დანიშვნა 330630235959Z -infiles server. CA.csr
-
პარამეტრები განმარტებულია:
- ca - იტვირთება სასერთიფიკატო ორგანოს მოდული
- -გაფართოება v3_ca -იტვირთება v3_ca გაფართოება, რაც აუცილებელია თანამედროვე ბრაუზერებში გამოსაყენებლად
- -out server. CA -signature.crt -თქვენი ახალი ხელმოწერილი გასაღების სახელი
- -keyfile server. CA.key - პირადი გასაღები თქვენ შექმენით ნაბიჯი 1
- -verbose - გიჩვენებთ დეტალებს მოთხოვნის შექმნისას (სურვილისამებრ)
- -selfsign - ეუბნება openssl- ს, რომ თქვენ იყენებთ ერთსა და იმავე ღილაკს მოთხოვნის ხელმოსაწერად
- -md sha256 - დაშიფვრის ალგორითმი შეტყობინებისთვის. (თუ არ იცით რა არის ეს, არ შეცვალოთ ეს. თქვენ უნდა შეცვალოთ ეს მხოლოდ იმ შემთხვევაში, თუ იცით რას აკეთებთ)
- -დაასრულეთ 330630235959Z - სერტიფიკატის დასრულების თარიღი. აღნიშვნა არის YYMMDDHHMMSSZ, სადაც Z არის GMT, ზოგჯერ ცნობილია როგორც "ზულუს" დრო.
- -infiles server. CA.csr - ხელმოწერის მოთხოვნის ფაილი, რომელიც თქვენ შექმენით ზემოთ.
ნაბიჯი 5. შეამოწმეთ თქვენი CA სერთიფიკატი
- openssl x509 -noout -text -server. CA.crt
-
პარამეტრები განმარტებულია:
- x509 - იტვირთება x509 მოდული ხელმოწერილი სერთიფიკატების შესამოწმებლად.
- -არა - არ გამოუშვათ კოდირებული ტექსტი
- -ტექსტი - გამოაქვეყნეთ ინფორმაცია ეკრანზე
- - server. CA.crt - ჩატვირთეთ ხელმოწერილი სერთიფიკატი
- Server. CA.crt ფაილი შეიძლება გადაეცეს ყველას, ვინც გამოიყენებს თქვენს ვებგვერდს ან გამოიყენებს სერტიფიკატებს, რომელთა ხელმოწერასაც გეგმავთ.
ნაწილი 2 მეოთხედან: SSL სერთიფიკატების შექმნა სერვისისთვის, როგორიცაა Apache
ნაბიჯი 1. შექმენით პირადი გასაღები
-
openssl genrsa -des3 -out server.apache.key 2048 წ
-
პარამეტრები განმარტებულია:
- openssl - პროგრამული უზრუნველყოფის სახელი
- genrsa - ქმნის ახალ კერძო გასაღებს
- -des3 - გასაღების დაშიფვრა DES შიფრის გამოყენებით
- -out server.apache.key - თქვენი ახალი გასაღების სახელი
- 2048 - კერძო გასაღების სიგრძე ბიტებში (იხილეთ გაფრთხილებები)
- შეინახეთ ეს სერთიფიკატი და პაროლი უსაფრთხო ადგილას.
ნაბიჯი 2. შექმენით სერტიფიკატის ხელმოწერის მოთხოვნა
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
პარამეტრები განმარტებულია:
- req - ქმნის ხელმოწერის მოთხოვნას
- -verbose - გიჩვენებთ დეტალებს მოთხოვნის შესახებ მისი შექმნისას (სურვილისამებრ)
- -ახალი - ქმნის ახალ მოთხოვნას
- -key server.apache.key - პირადი გასაღები, რომელიც თქვენ შექმენით ზემოთ.
- -out server.apache.csr - ხელმოწერის მოთხოვნის ფაილის სახელი, რომელსაც თქვენ ქმნით
- sha256 - დაშიფვრის ალგორითმი გამოსაყენებლად მოთხოვნაზე (თუ არ იცით რა არის ეს, არ შეცვალოთ ეს. თქვენ უნდა შეცვალოთ ეს მხოლოდ იმ შემთხვევაში, თუ იცით რას აკეთებთ)
ნაბიჯი 3. გამოიყენეთ თქვენი CA სერთიფიკატი, რათა ხელი მოაწეროთ ახალ გასაღებს
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
პარამეტრები განმარტებულია:
- ca - იტვირთება სასერთიფიკატო ორგანოს მოდული
- -out server.apache.pem - ფაილის სახელი არის ხელმოწერილი სერთიფიკატი
- -keyfile server. CA.key - CA სერტიფიკატის ფაილის სახელი, რომელიც ხელს აწერს მოთხოვნას
- -infiles server.apache.csr - სერტიფიკატის ხელმოწერის მოთხოვნის ფაილის სახელი
ნაბიჯი 4. შეავსეთ ინფორმაცია მაქსიმალურად:
-
ქვეყნის სახელი (2 ასო კოდი) [AU]:
ᲩᲕᲔᲜ
-
შტატის ან პროვინციის სახელი (სრული სახელი) [ზოგიერთი სახელმწიფოს]:
CA
-
დასახლების სახელი (მაგ. ქალაქი) :
სილიკონის ველი
-
ორგანიზაციის სახელი (მაგ., კომპანია) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- ორგანიზაციული ერთეულის სახელი (მაგ. განყოფილება) :
-
საერთო სახელი (მაგალითად, სერვერის FQDN ან თქვენი სახელი) :
-
Ელექტრონული მისამართი :
ნაბიჯი 5. შეინახეთ თქვენი პირადი გასაღების ასლი სხვა ადგილას
შექმენით პირადი გასაღები პაროლის გარეშე, რათა თავიდან აიცილოთ Apache– მ პაროლის მოთხოვნა:
-
openssl rsa -server.apache.key -out server.apache.unsecured.key
-
პარამეტრები განმარტებულია:
- rsa - მართავს RSA დაშიფვრის პროგრამას
- -server.apache.key - გასაღები სახელი, რომლის გადაკეთებაც გსურთ.
- -out server.apache.unsecured.key - ახალი დაუცველი გასაღების ფაილის სახელი
ნაბიჯი 6. გამოიყენეთ შედეგად მიღებული server.apache.pem ფაილი, კერძო გასაღებთან ერთად, რომელიც თქვენ შექმენით 1 ნაბიჯში თქვენი apache2.conf ფაილის კონფიგურაციისთვის
ნაწილი 3 მეოთხედან: მომხმარებლის სერტიფიკატის შექმნა ავტორიზაციისათვის
ნაბიჯი 1. დაიცავით ყველა ნაბიჯი _ SSL სერთიფიკატების შექმნა Apache_ ისთვის
ნაბიჯი 2. გადააკეთეთ თქვენი ხელმოწერილი სერთიფიკატი PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
ნაწილი 4 დან 4: S/MIME ელ.ფოსტის სერთიფიკატების შექმნა
ნაბიჯი 1. შექმენით პირადი გასაღები
openssl genrsa -des3 -private_email.key 2048
ნაბიჯი 2. შექმენით სერტიფიკატის ხელმოწერის მოთხოვნა
openssl მოთხოვნა -ახალი -გასაღები private_email.key -out private_email.csr
ნაბიჯი 3. გამოიყენეთ თქვენი CA სერთიფიკატი, რათა ხელი მოაწეროთ ახალ გასაღებს
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
ნაბიჯი 4. გადააქციეთ სერთიფიკატი PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
ნაბიჯი 5. შექმენით საჯარო გასაღების სერთიფიკატი განაწილებისთვის
openssl pkcs12 -export -out public_cert.p12 -private_email.pem -კონცერტები -kenokeys -name "WikiHow's Public Key"
Რჩევები
თქვენ შეგიძლიათ შეცვალოთ PEM გასაღებების შინაარსი შემდეგი ბრძანების გაცემით: openssl x509 -noout -text -in certificate.pem
გაფრთხილებები
- 1024 ბიტიანი გასაღებები მოძველებულად ითვლება. 2048 ბიტიანი გასაღებები ითვლება უსაფრთხოდ მომხმარებლის სერთიფიკატებისთვის 2030 წლამდე, მაგრამ არასაკმარისად ითვლება root სერთიფიკატებისთვის. სერთიფიკატების შექმნისას გაითვალისწინეთ ეს დაუცველობები.
- სტანდარტულად, თანამედროვე ბრაუზერების უმეტესობა აჩვენებს გაფრთხილებას "არასანდო სერტიფიკატის", როდესაც ვინმე ეწვევა თქვენს საიტს. ბევრი განხილვა მიმდინარეობს ამ გაფრთხილებების ფორმულირებაზე, რადგან არასამთავრობო ტექნიკური მომხმარებლები შეიძლება დაიჭირონ უგონო მდგომარეობაში. ხშირად უმჯობესია გამოიყენოთ ძირითადი ავტორიტეტი, რათა მომხმარებლებმა არ მიიღონ გაფრთხილებები.