Mutassa meg webhelye látogatóit, hogy komolyan veszi a biztonságukat, ha létrehozza saját SSL-tanúsítványát az OpenSSL használatával.

Az SSL/TLS-tanúsítványok elengedhetetlenek webalkalmazása vagy szervere biztonságához. Míg számos megbízható tanúsító hatóság költség ellenében biztosít SSL/TLS-tanúsítványokat, lehetőség van önaláírt tanúsítvány létrehozására is az OpenSSL használatával. Annak ellenére, hogy az önaláírt tanúsítványok nem tartalmazzák a megbízható hatóság jóváhagyását, továbbra is titkosíthatják a webforgalmat. Tehát hogyan használhatja az OpenSSL-t önaláírt tanúsítvány létrehozására webhelye vagy szervere számára?

Az OpenSSL telepítése

Az OpenSSL egy nyílt forráskódú szoftver. De ha nem rendelkezik programozási háttérrel, és aggódik az építési folyamatok miatt, akkor van egy kis technikai beállítása. Ennek elkerülése érdekében letöltheti az OpenSSL kód legújabb, teljesen lefordított és telepítésre kész verzióját innen. slproweb webhelye.

Itt válassza ki a legújabb OpenSSL-verzió MSI-kiterjesztését, amely megfelel az Ön rendszerének.

Példaként vegye figyelembe az OpenSSL at D:\OpenSSL-Win64. Ezt megváltoztathatod. Ha a telepítés befejeződött, nyissa meg a PowerShellt rendszergazdaként és navigáljon a nevű almappába kuka abban a mappában, ahová telepítette az OpenSSL-t. Ehhez használja a következő parancsot:

CD"D:\OpenSSL-Win64\bin"

Most hozzáférhet openssl.exe és tetszés szerint futtathatja.

Hozzon létre privát kulcsot az OpenSSL segítségével

Az önaláírt tanúsítvány létrehozásához privát kulcsra lesz szüksége. Ugyanabban a bin mappában létrehozhatja ezt a privát kulcsot a következő parancs beírásával a PowerShellben, miután rendszergazdaként megnyitotta.

openssl.alkalmazásgenrsa-des3-kimyPrivateKey.kulcs 2048

Ez a parancs egy 2048 bites, 3DES-titkosított RSA privát kulcsot generál OpenSSL-en keresztül. Az OpenSSL jelszó megadását kéri. Használnia kell a erős és megjegyezhető jelszó. Miután kétszer beírta ugyanazt a jelszót, sikeresen létrehozta az RSA privát kulcsát.

A privát RSA-kulcsát a névvel találhatja meg myPrivateKey.key.

Hogyan hozzunk létre CSR-fájlt OpenSSL-lel

A létrehozott privát kulcs önmagában nem lesz elegendő. Ezenkívül szüksége van egy CSR-fájlra az önaláírt tanúsítvány elkészítéséhez. A CSR-fájl létrehozásához új parancsot kell beírnia a PowerShellben:

openssl.alkalmazásreq-új-kulcsmyPrivateKey.kulcs-kimyCertRequest.csr

Az OpenSSL az itt megadott jelszót is kéri a privát kulcs generálásához. A továbbiakban kérni fogja az Ön jogi és személyes adatait. Ügyeljen arra, hogy ezeket az információkat helyesen adja meg.

Ezen kívül lehetőség van az összes eddigi művelet elvégzésére egyetlen parancssorral. Ha az alábbi parancsot használja, egyszerre létrehozhatja privát RSA-kulcsát és a CSR-fájlt is:

openssl.alkalmazásreq-új-új kulcsrsa:2048- csomópontok-kulcskiadásmyPrivateKey2.kulcs-kimyCertRequest2.csr

Most láthatja a nevű fájlt myCertRequest.csr a megfelelő címtárban. Ez az Ön által létrehozott CSR-fájl a következőkről tartalmaz információkat:

  • Az igazolást kérő intézmény.
  • Közös név (azaz domain név).
  • Nyilvános kulcs (titkosítási célokra).

Az Ön által létrehozott CSR-fájlokat bizonyos hatóságoknak felül kell vizsgálniuk és jóvá kell hagyniuk. Ehhez közvetlenül el kell küldenie a CSR fájlt a tanúsító hatóságnak vagy más közvetítő intézményeknek.

Ezek a hatóságok és brókerházak a kívánt tanúsítvány jellegétől függően megvizsgálják, hogy az Ön által megadott adatok helyesek-e. Előfordulhat, hogy bizonyos dokumentumokat offline is el kell küldenie (fax, e-mail stb.) annak bizonyítására, hogy az adatok helyesek.

Tanúsítvány elkészítése a tanúsító hatóság által

Amikor elküldi az Ön által létrehozott CSR-fájlt egy érvényes hitelesítő hatóságnak, a hitelesítő hatóság aláírja a fájlt, és elküldi a tanúsítványt a kérelmező intézménynek vagy személynek. Ennek során a hitelesítésszolgáltató (más néven CA) PEM-fájlt is létrehoz a CSR- és RSA-fájlokból. A PEM-fájl az utolsó fájl, amely egy önaláírt tanúsítványhoz szükséges. Ezek a szakaszok biztosítják azt Az SSL-tanúsítványok rendszerezettek, megbízhatóak és biztonságosak maradnak.

Ön is létrehozhat PEM fájlt az OpenSSL segítségével. Ez azonban potenciális kockázatot jelenthet a tanúsítvány biztonságára nézve, mivel az utóbbi hitelessége vagy érvényessége nem egyértelmű. Ezenkívül az a tény, hogy a tanúsítvány nem ellenőrizhető, azt okozhatja, hogy bizonyos alkalmazásokban és környezetben nem működik. Tehát az önaláírt tanúsítvány ezen példájához használhatunk hamis PEM-fájlt, de ez természetesen valós használatban nem lehetséges.

Egyelőre képzeljen el egy nevű PEM-fájlt myPemKey.pem hivatalos tanúsító hatóságtól származik. A következő paranccsal hozhat létre PEM-fájlt magának:

opensslx509-req-sha256-napok 365 -ban benmyCertRequest.csr-jelkulcsmyPrivateKey.kulcs-kimyPemKey.pem

Ha van ilyen fájlja, akkor az önaláírt tanúsítványhoz a következő parancsot kell használnia:

openssl.alkalmazásx509-req-napok 365 -ban benmyCertRequest.csr-jelkulcsmyPemKey.pem-kimySignedCert.cer

Ez a parancs azt jelenti, hogy a CSR-fájl egy nevű privát kulccsal van aláírva myPemKey.pem, 365 napig érvényes. Ennek eredményeként létrehoz egy tanúsítványfájlt, melynek neve mySignedCert.cer.

Önaláírt tanúsítvány információi

A következő paranccsal ellenőrizheti az önaláírt tanúsítvány adatait:

openssl.alkalmazásx509-noout-szöveg-ban benmySignedCert.cer

Ez megmutatja a tanúsítványban szereplő összes információt. Számos információ látható, például a cég vagy a személyes adatok, valamint a tanúsítványban használt algoritmusok.

Mi a teendő, ha az önaláírt tanúsítványokat nem a hitelesítésszolgáltató írja alá?

Alapvető fontosságú az önaláírt tanúsítványok auditálása, és annak megerősítése, hogy biztonságosak. Ezt általában egy harmadik fél tanúsítványszolgáltatója (azaz a CA) teszi meg. Ha nem rendelkezik harmadik fél tanúsító hatóság által aláírt és jóváhagyott tanúsítvánnyal, és ezt a nem jóváhagyott tanúsítványt használja, akkor bizonyos biztonsági problémákba ütközhet.

A hackerek használhatják önaláírt tanúsítványát például egy webhely hamis másolatának létrehozására. Ez lehetővé teszi a támadók számára, hogy ellopják a felhasználók adatait. Ezenkívül hozzájuthatnak a felhasználók felhasználónevéhez, jelszavához vagy más bizalmas információhoz.

A felhasználók biztonságának biztosítása érdekében a webhelyeknek és egyéb szolgáltatásoknak általában olyan tanúsítványokat kell használniuk, amelyeket ténylegesen hitelesítésszolgáltató hitelesített. Ez garantálja, hogy a felhasználó adatai titkosítva vannak, és a megfelelő szerverhez csatlakoznak.

Önaláírt tanúsítványok létrehozása Windows rendszeren

Amint láthatja, egy önaláírt tanúsítvány létrehozása Windows rendszeren OpenSSL használatával meglehetősen egyszerű. De ne feledje, hogy a tanúsító hatóságok jóváhagyására is szüksége lesz.

Mindazonáltal egy ilyen tanúsítvány elkészítése azt mutatja, hogy komolyan veszi a felhasználók biztonságát, ami azt jelenti, hogy jobban megbíznak benned, a webhelyedben és a teljes márkádban.