Paano Maging Ang Iyong Sariling Awtoridad ng Sertipiko (na may Mga Larawan)

Hakbang 4. Pag-sign ng sarili ang iyong sertipiko:

• openssl ca -xtensions v3_ca -out server. CA-sign.crt -keyfile server. CA.key -asalita -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr

• Ipinaliwanag ang mga pagpipilian:

  • ca - Naglo-load ang module ng Certificate Authority
  • -extension v3_ca - Naglo-load ang extension ng v3_ca, isang dapat-mayroon para magamit sa mga modernong browser
  • -out server. CA -igned.crt - Ang pangalan ng iyong bagong sign na key
  • -keyfile server. CA.key - Ang pribadong key na nilikha mo sa hakbang 1
  • -asalita - nagpapakita sa iyo ng mga detalye tungkol sa kahilingan habang nilikha ito (opsyonal)
  • -Signsign - Sinasabi sa openssl na gumagamit ka ng parehong susi upang mag-sign ang kahilingan
  • -md sha256 - Ang algorithm ng pag-encrypt na gagamitin para sa mensahe. (Kung hindi mo alam kung ano ito, huwag itong baguhin. Dapat mo lang itong palitan kung alam mo kung ano ang iyong ginagawa)
  • -enddate 330630235959Z - Ang petsa ng pagtatapos ng sertipiko. Ang notasyon ay YYMMDDHHMMSSZ kung saan ang Z ay nasa GMT, kung minsan ay kilala bilang "Zulu" na oras.
  • -infiles server. CA.csr - ang file ng kahilingan sa pag-sign na nilikha mo ang hakbang sa itaas.

Hakbang 5. Suriin ang iyong sertipiko ng CA

• openssl x509 -noout -text -sa server. CA.crt

• Ipinaliwanag ang mga pagpipilian:

  • x509 - Naglo-load ng x509 module upang siyasatin ang mga naka-sign na sertipiko.
  • -noout - Huwag output ang naka-encode na teksto
  • -text - i-output ang impormasyon sa screen
  • -sa server. CA.crt - I-load ang naka-sign na sertipiko
• Ang server. CA.crt file ay maaaring maipamahagi sa sinumang gagamit ng iyong website o gagamit ng mga sertipiko na balak mong pirmahan.

Bahagi 2 ng 4: Lumilikha ng Mga Sertipiko ng SSL para sa isang Serbisyo, tulad ng Apache

Hakbang 1. Lumikha ng isang pribadong key

• openssl genrsa -des3 -out server.apache.key 2048

• Ipinaliwanag ang mga pagpipilian:

  • openssl - ang pangalan ng software
  • genrsa - lumilikha ng isang bagong pribadong key
  • -des3 - i-encrypt ang susi gamit ang DES cipher
  • -out server.apache.key - ang pangalan ng iyong bagong key
  • 2048 - ang haba, sa mga piraso, ng pribadong key (Mangyaring tingnan ang mga babala)
• Itabi ang sertipiko na ito at ang password sa isang ligtas na lugar.

Hakbang 2. Lumikha ng isang kahilingan sa pag-sign ng sertipiko

• openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256

• Ipinaliwanag ang mga pagpipilian:

  • req - Lumilikha ng Kahilingan sa Pag-sign
  • -asalita - nagpapakita sa iyo ng mga detalye tungkol sa kahilingan habang nilikha ito (opsyonal)
  • -bago - lumilikha ng isang bagong kahilingan
  • -key server.apache.key - Ang pribadong key na nilikha mo lang sa itaas.
  • -out server.apache.csr - Ang pangalan ng file ng iyong kahilingan sa pag-sign na iyong nilikha
  • sha256 - Ang algorithm ng pag-encrypt na gagamitin para sa mga kahilingan sa pag-sign (Kung hindi mo alam kung ano ito, huwag itong baguhin. Dapat mo lang itong baguhin kung alam mo kung ano ang iyong ginagawa)

Hakbang 3. Gamitin ang iyong sertipiko ng CA upang mag-sign ang bagong key

• openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr

• Ipinaliwanag ang mga pagpipilian:

  • ca - Naglo-load ang module ng Certificate Authority
  • -out server.apache.pem - Pangalan ng file ang pinirmahang sertipiko
  • -keyfile server. CA.key - Ang pangalan ng file ng sertipiko ng CA na pipirma sa kahilingan
  • -infiles server.apache.csr - Ang pangalan ng file ng Kahilingan sa Pag-sign ng Certificate

Hakbang 4. Punan ang impormasyon hangga't maaari:

• Pangalan ng Bansa (2 titik code) [AU]:

  US

• Pangalan ng Estado o Lalawigan (buong pangalan) [Ilang-Estado]:

  CA

• Pangalan ng Lokalidad (hal., Lungsod) :

  Silicon Valley

• Pangalan ng Organisasyon (hal., Kumpanya) [Internet Widgits Pty Ltd]:

  wikiHow, Inc.

• Pangalan ng Yunit ng Organisasyon (hal. Seksyon) :

• Karaniwang Pangalan (hal., Server FQDN o IYONG pangalan) :

• Email Address :

Hakbang 5. I-save ang isang kopya ng iyong pribadong key sa ibang lokasyon

Lumikha ng isang pribadong key nang walang isang password upang maiwasan ang pag-prompt sa iyo ni Apache para sa isang password:

• openssl rsa -sa server.apache.key -out server.apache.unsecured.key

• Ipinaliwanag ang mga pagpipilian:

  • rsa - Nagpapatakbo ng programa sa pag-encrypt ng RSA
  • -sa server.apache.key - Ang pangunahing pangalan na nais mong i-convert.
  • -out server.apache.unsecured.key - Ang pangalan ng file ng bagong unsecured key

Hakbang 6. Gamitin ang nagresultang file ng server.apache.pem kasama ang pribadong key na nabuo mo sa hakbang 1 upang mai-configure ang iyong apache2.conf file

Bahagi 3 ng 4: Lumilikha ng isang Sertipiko ng Gumagamit para sa Pagpapatotoo

Hakbang 1. Sundin ang lahat ng mga hakbang sa _Paglikha ng Mga SSL Certificate para sa Apache_

Hakbang 2. I-convert ang iyong pirmadong sertipiko sa isang PKCS12

openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12

Bahagi 4 ng 4: Lumilikha ng S / MIME E-mail na Mga Sertipiko

Hakbang 1. Lumikha ng isang pribadong key

openssl genrsa -des3 -out private_email.key 2048

Hakbang 2. Lumikha ng isang Kahilingan sa Pag-sign ng Certificate

openssl req -new -key private_email.key -out private_email.csr

Hakbang 3. Gamitin ang iyong sertipiko ng CA upang mag-sign ang bagong key

openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr

Hakbang 4. I-convert ang sertipiko sa PKCS12

openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12

Hakbang 5. Lumikha ng sertipiko ng Public Key para sa pamamahagi

openssl pkcs12 -export -out public_cert.p12 -sa pribado_email.pem -clcerts -nokeys -name "WikiHow's Public Key"

Mga Tip

Maaari mong iba-iba ang mga nilalaman ng mga key ng PEM sa pamamagitan ng pag-isyu ng sumusunod na utos: openssl x509 -noout -text -in certificate.pem

Mga babala

• Ang mga 1024-bit na key ay itinuturing na lipas na. Ang mga 2048-bit na key ay itinuturing na ligtas para sa mga sertipiko ng gumagamit hanggang 2030, ngunit itinuturing na hindi sapat para sa mga sertipiko ng ugat. Isaalang-alang ang mga kahinaan na ito habang ginagawa mo ang iyong mga sertipiko.
• Bilang default, ang karamihan sa mga modernong browser ay magpapakita ng babalang "Hindi pinagkakatiwalaang sertipiko" kapag may bumisita sa iyong site. Nagkaroon ng maraming debate tungkol sa mga salita ng mga babalang ito, dahil ang mga gumagamit na hindi pang-teknikal ay maaaring mahuli nang bantay. Kadalasang pinakamahusay na gumamit ng isang pangunahing awtoridad upang hindi makuha ng mga gumagamit ang mga babala.