Böyük Sertifikat Təşkilatlarından (CA) hər hansı birindən SSL sertifikatı almaq 100 dollar və daha çox işləyə bilər. Bütün yaradılmış CA -lara 100% etibar oluna bilməyəcəyini göstərən qeyri -müəyyənliyi aşmağa və öz Sertifikat Təşkilatınız olaraq xərcləri silməyə qərar verə biləcəyinizə işarə edən xəbərlərə qarışığı əlavə edin.
Addımlar
4 -dən 1 -ci hissə: CA Sertifikatınızı Yaratmaq
Addım 1. Aşağıdakı əmri verərək CA -nın şəxsi açarını yaradın
-
openssl genrsa -des3 -out server. CA.key 2048
-
Seçimlər izah edildi
- openssl - proqramın adı
- genrsa - yeni bir şəxsi açar yaradır
- -des3 - DES şifrəsini istifadə edərək açarı şifrələyin
- -out server. CA.key - yeni açarınızın adı
- 2048 - şəxsi açarın uzunluğu, bit olaraq (Xəbərdarlıqlara baxın)
- Bu sertifikatı və şifrəni etibarlı bir yerdə saxlayın.
Addım 2. Sertifikat imzalama sorğusu yaradın
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Seçimlər izah edildi:
- req - İmza İstəyi yaradır
- -verbose - istək yaradıldıqca detallarını göstərir (isteğe bağlı)
- -yeni - yeni bir sorğu yaradır
- -key server. CA.key - Yuxarıda yaratdığınız şəxsi açar.
- -out server. CA.csr - Yaratdığınız imza sorğusunun fayl adı
- sha256 - İstəkləri imzalamaq üçün istifadə ediləcək şifrələmə alqoritmi (Bunun nə olduğunu bilmirsinizsə, bunu dəyişməyin. Bunu nə etdiyinizi bildiyiniz halda dəyişdirməlisiniz)
Addım 3. Məlumatı mümkün qədər doldurun
-
Ölkə Adı (2 hərf kodu) [AU]:
ABŞ
-
Əyalət və ya Vilayət Adı (tam adı) [Bəzi Ştat]:
CA
-
Yer Adı (məsələn, şəhər) :
Silikon Vadisi
-
Təşkilat Adı (məsələn, şirkət) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Təşkilat Bölməsinin Adı (məsələn, bölmə) :
-
Ümumi Ad (məsələn, server FQDN və ya SİZİN adınız) :
-
E -poçt ünvanı :
Addım 4. Sertifikatınızı özünüz imzalayın:
-
openssl ca -extensions v3_ca -out server. CA -imzalanmış.
-
Seçimlər izah edildi:
- ca - Sertifikat Təşkilatı modulunu yükləyir
- -ekstension v3_ca -Müasir brauzerlərdə istifadə etmək üçün lazım olan v3_ca uzantısını yükləyir.
- -out server. CA -signed.crt -Yeni imzalanmış açarınızın adı
- -keyfile server. CA.key - 1 -ci addımda yaratdığınız şəxsi açar
- -verbose - istək yaradıldıqca detallarını göstərir (isteğe bağlı)
- -Selfsign - Sorğunu imzalamaq üçün eyni düyməni istifadə etdiyinizi openssl -ə bildirir
- -md sha256 - Mesaj üçün istifadə ediləcək şifrələmə alqoritmi. (Bunun nə olduğunu bilmirsinizsə, bunu dəyişməyin. Bunu nə etdiyinizi bildiyiniz halda dəyişdirməlisiniz)
- -enddate 330630235959Z - Sertifikatın bitmə tarixi. İşarə, ZT -nin GMT -də olduğu, bəzən "Zulu" vaxtı olaraq bilinən YYMMDDHHMMSSZ -dir.
- -infiles server. CA.csr - yuxarıdakı addımı yaratdığınız imza istək faylı.
Addım 5. CA sertifikatınızı yoxlayın
- openssl x509 -noout -text -in server. CA.crt
-
Seçimlər izah edildi:
- x509 - İmzalı sertifikatları yoxlamaq üçün x509 modulunu yükləyir.
- -noout - Kodlanmış mətni çıxarmayın
- -text - məlumatı ekranda çıxarın
- -in server. CA.crt - İmzalanmış sertifikatı yükləyin
- Server. CA.crt faylı veb saytınızı istifadə edəcək və ya imzalamağı planlaşdırdığınız sertifikatlardan istifadə edəcək hər kəsə paylana bilər.
4 -cü hissənin 2 -si: Apache kimi bir xidmət üçün SSL Sertifikatları yaratmaq
Addım 1. Şəxsi açar yaradın
-
openssl genrsa -des3 -out server.apache.key 2048
-
Seçimlər izah edildi:
- openssl - proqramın adı
- genrsa - yeni bir şəxsi açar yaradır
- -des3 - DES şifrəsini istifadə edərək açarı şifrələyin
- -out server.apache.key - yeni açarınızın adı
- 2048 - şəxsi açarın uzunluğu, bit olaraq (Xəbərdarlıqlara baxın)
- Bu sertifikatı və şifrəni etibarlı bir yerdə saxlayın.
Addım 2. Sertifikat imzalama sorğusu yaradın
-
openssl req -verbose -yeni -key server.apache.key -out server.apache.csr -sha256
-
Seçimlər izah edildi:
- req - İmza İstəyi yaradır
- -verbose - istək yaradılarkən sizə ayrıntıları göstərir (isteğe bağlı)
- -yeni - yeni bir sorğu yaradır
- -key server.apache.key - Yuxarıda yaratdığınız şəxsi açar.
- -out server.apache.csr - Yaratdığınız imza sorğusunun fayl adı
- sha256 - İstəkləri imzalamaq üçün istifadə ediləcək şifrələmə alqoritmi (Bunun nə olduğunu bilmirsinizsə, bunu dəyişməyin. Bunu nə etdiyinizi bildiyiniz halda dəyişdirməlisiniz)
Addım 3. Yeni açarı imzalamaq üçün CA sertifikatınızdan istifadə edin
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Seçimlər izah edildi:
- ca - Sertifikat Təşkilatı modulunu yükləyir
- -out server.apache.pem - Faylın imzalanmış sertifikatı
- -keyfile server. CA.key - İstəyi imzalayacaq CA sertifikatının fayl adı
- -infiles server.apache.csr - Sertifikat İmza İstəyinin fayl adı
Addım 4. Məlumatı mümkün qədər doldurun:
-
Ölkə Adı (2 hərf kodu) [AU]:
ABŞ
-
Əyalət və ya Vilayət Adı (tam adı) [Bəzi Ştat]:
CA
-
Yer Adı (məsələn, şəhər) :
Silikon Vadisi
-
Təşkilat Adı (məsələn, şirkət) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Təşkilat Bölməsinin Adı (məsələn, bölmə) :
-
Ümumi Ad (məsələn, server FQDN və ya SİZİN adınız) :
-
E -poçt ünvanı :
Addım 5. Şəxsi açarınızın surətini başqa yerdə saxlayın
Apache -dən parol istəməməsi üçün parol olmadan xüsusi bir açar yaradın:
-
openssl rsa -server.apache.key -server.apache.unsecured.key
-
Seçimlər izah edildi:
- rsa - RSA şifrələmə proqramını işə salır
- -in server.apache.key - Dönüştürmek istədiyiniz açar adı.
- -out server.apache.unsecured.key - Yeni təminatsız açarın fayl adı
Addım 6. Apache2.conf faylınızı konfiqurasiya etmək üçün 1 -ci addımda yaratdığınız şəxsi açarla birlikdə ortaya çıxan server.apache.pem faylını istifadə edin
4 -cü hissə 3: Doğrulama üçün İstifadəçi Sertifikatı Yaratmaq
Addım 1. Apache_ üçün SSL Sertifikatları Yaratmaqdakı bütün addımları izləyin
Addım 2. İmzalı sertifikatı PKCS12 -ə çevirin
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
4/4-cü hissə: S/MIME E-poçt Sertifikatları Yaratmaq
Addım 1. Şəxsi açar yaradın
openssl genrsa -des3 -out private_email.key 2048
Addım 2. Sertifikat İmza İstəyi yaradın
openssl req -yeni -key private_email.key -out private_email.csr
Addım 3. Yeni açarı imzalamaq üçün CA sertifikatınızdan istifadə edin
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Addım 4. Sertifikatı PKCS12 -ə çevirin
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Addım 5. Dağıtım üçün Ümumi Açar sertifikatı yaradın
openssl pkcs12 -export -out public_cert.p12 -private_email.pem -clcerts -nokeys -name "WikiHow'un Açar Açarı"
İpuçları
Aşağıdakı əmri verərək PEM düymələrinin məzmununu dəyişə bilərsiniz: openssl x509 -noout -text -in certificate.pem
Xəbərdarlıqlar
- 1024 bitlik açarlar köhnəlmiş hesab olunur. 2048 bitlik açarlar 2030-cu ilə qədər istifadəçi sertifikatları üçün təhlükəsiz sayılır, lakin kök sertifikatları üçün qeyri-kafi hesab olunur. Sertifikatlarınızı yaradarkən bu zəiflikləri nəzərə alın.
- Varsayılan olaraq, əksər müasir brauzerlər, kimsə saytınızı ziyarət edərkən "Etibarsız sertifikat" xəbərdarlığı göstərəcək. Texniki olmayan istifadəçilər gözdən qaça biləcəyi üçün bu xəbərdarlıqların ifadəsi üzərində çox mübahisə var. İstifadəçilərin xəbərdarlıq almaması üçün böyük bir səlahiyyətdən istifadə etmək daha yaxşıdır.
-
-