Ang pagkuha ng isang sertipiko ng SSL mula sa alinman sa mga pangunahing Mga Awtoridad ng Sertipiko (CA) ay maaaring magpatakbo ng $ 100 at mas mataas. Idagdag sa pinaghalong, mga kwentong balita na tila ipahiwatig na hindi lahat ng mga itinatag na CA ay maaaring pagkatiwalaan 100% ng oras at maaari kang magpasya na iwasan ang kawalan ng katiyakan at burahin ang gastos sa pamamagitan ng iyong sariling Certificate Authority.
Mga hakbang
Bahagi 1 ng 4: Lumilikha ng iyong CA Certificate
Hakbang 1. Bumuo ng pribadong key ng iyong CA sa pamamagitan ng pag-isyu ng sumusunod na utos
-
openssl genrsa -des3 -out server. CA.key 2048
-
Ipinaliwanag ang mga pagpipilian
- openssl - ang pangalan ng software
- genrsa - lumilikha ng isang bagong pribadong key
- -des3 - i-encrypt ang susi gamit ang DES cipher
- -out server. CA.key - ang pangalan ng iyong bagong key
- 2048 - ang haba, sa mga piraso, ng pribadong key (Mangyaring tingnan ang mga babala)
- Itabi ang sertipiko na ito at ang password sa isang ligtas na lugar.
Hakbang 2. Lumikha ng isang kahilingan sa pag-sign ng sertipiko
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Ipinaliwanag ang mga pagpipilian:
- req - Lumilikha ng Kahilingan sa Pag-sign
- -asalita - nagpapakita sa iyo ng mga detalye tungkol sa kahilingan habang nilikha ito (opsyonal)
- -bago - lumilikha ng isang bagong kahilingan
- -key server. CA.key - Ang pribadong key na nilikha mo lang sa itaas.
- -out server. CA.csr - Ang pangalan ng file ng iyong kahilingan sa pag-sign na iyong nilikha
- sha256 - Ang algorithm ng pag-encrypt na gagamitin para sa mga kahilingan sa pag-sign (Kung hindi mo alam kung ano ito, huwag itong baguhin. Dapat mo lang itong baguhin kung alam mo kung ano ang iyong ginagawa)
Hakbang 3. Punan ang impormasyon hangga't maaari
-
Pangalan ng Bansa (2 titik code) [AU]:
US
-
Pangalan ng Estado o Lalawigan (buong pangalan) [Ilang-Estado]:
CA
-
Pangalan ng Lokalidad (hal., Lungsod) :
Silicon Valley
-
Pangalan ng Organisasyon (hal., Kumpanya) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Pangalan ng Yunit ng Organisasyon (hal. Seksyon) :
-
Karaniwang Pangalan (hal., Server FQDN o IYONG pangalan) :
-
Email Address :
Hakbang 4. Pag-sign ng sarili ang iyong sertipiko:
-
openssl ca -xtensions v3_ca -out server. CA-sign.crt -keyfile server. CA.key -asalita -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Ipinaliwanag ang mga pagpipilian:
- ca - Naglo-load ang module ng Certificate Authority
- -extension v3_ca - Naglo-load ang extension ng v3_ca, isang dapat-mayroon para magamit sa mga modernong browser
- -out server. CA -igned.crt - Ang pangalan ng iyong bagong sign na key
- -keyfile server. CA.key - Ang pribadong key na nilikha mo sa hakbang 1
- -asalita - nagpapakita sa iyo ng mga detalye tungkol sa kahilingan habang nilikha ito (opsyonal)
- -Signsign - Sinasabi sa openssl na gumagamit ka ng parehong susi upang mag-sign ang kahilingan
- -md sha256 - Ang algorithm ng pag-encrypt na gagamitin para sa mensahe. (Kung hindi mo alam kung ano ito, huwag itong baguhin. Dapat mo lang itong palitan kung alam mo kung ano ang iyong ginagawa)
- -enddate 330630235959Z - Ang petsa ng pagtatapos ng sertipiko. Ang notasyon ay YYMMDDHHMMSSZ kung saan ang Z ay nasa GMT, kung minsan ay kilala bilang "Zulu" na oras.
- -infiles server. CA.csr - ang file ng kahilingan sa pag-sign na nilikha mo ang hakbang sa itaas.
Hakbang 5. Suriin ang iyong sertipiko ng CA
- openssl x509 -noout -text -sa server. CA.crt
-
Ipinaliwanag ang mga pagpipilian:
- x509 - Naglo-load ng x509 module upang siyasatin ang mga naka-sign na sertipiko.
- -noout - Huwag output ang naka-encode na teksto
- -text - i-output ang impormasyon sa screen
- -sa server. CA.crt - I-load ang naka-sign na sertipiko
- Ang server. CA.crt file ay maaaring maipamahagi sa sinumang gagamit ng iyong website o gagamit ng mga sertipiko na balak mong pirmahan.
Bahagi 2 ng 4: Lumilikha ng Mga Sertipiko ng SSL para sa isang Serbisyo, tulad ng Apache
Hakbang 1. Lumikha ng isang pribadong key
-
openssl genrsa -des3 -out server.apache.key 2048
-
Ipinaliwanag ang mga pagpipilian:
- openssl - ang pangalan ng software
- genrsa - lumilikha ng isang bagong pribadong key
- -des3 - i-encrypt ang susi gamit ang DES cipher
- -out server.apache.key - ang pangalan ng iyong bagong key
- 2048 - ang haba, sa mga piraso, ng pribadong key (Mangyaring tingnan ang mga babala)
- Itabi ang sertipiko na ito at ang password sa isang ligtas na lugar.
Hakbang 2. Lumikha ng isang kahilingan sa pag-sign ng sertipiko
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Ipinaliwanag ang mga pagpipilian:
- req - Lumilikha ng Kahilingan sa Pag-sign
- -asalita - nagpapakita sa iyo ng mga detalye tungkol sa kahilingan habang nilikha ito (opsyonal)
- -bago - lumilikha ng isang bagong kahilingan
- -key server.apache.key - Ang pribadong key na nilikha mo lang sa itaas.
- -out server.apache.csr - Ang pangalan ng file ng iyong kahilingan sa pag-sign na iyong nilikha
- sha256 - Ang algorithm ng pag-encrypt na gagamitin para sa mga kahilingan sa pag-sign (Kung hindi mo alam kung ano ito, huwag itong baguhin. Dapat mo lang itong baguhin kung alam mo kung ano ang iyong ginagawa)
Hakbang 3. Gamitin ang iyong sertipiko ng CA upang mag-sign ang bagong key
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Ipinaliwanag ang mga pagpipilian:
- ca - Naglo-load ang module ng Certificate Authority
- -out server.apache.pem - Pangalan ng file ang pinirmahang sertipiko
- -keyfile server. CA.key - Ang pangalan ng file ng sertipiko ng CA na pipirma sa kahilingan
- -infiles server.apache.csr - Ang pangalan ng file ng Kahilingan sa Pag-sign ng Certificate
Hakbang 4. Punan ang impormasyon hangga't maaari:
-
Pangalan ng Bansa (2 titik code) [AU]:
US
-
Pangalan ng Estado o Lalawigan (buong pangalan) [Ilang-Estado]:
CA
-
Pangalan ng Lokalidad (hal., Lungsod) :
Silicon Valley
-
Pangalan ng Organisasyon (hal., Kumpanya) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Pangalan ng Yunit ng Organisasyon (hal. Seksyon) :
-
Karaniwang Pangalan (hal., Server FQDN o IYONG pangalan) :
-
Email Address :
Hakbang 5. I-save ang isang kopya ng iyong pribadong key sa ibang lokasyon
Lumikha ng isang pribadong key nang walang isang password upang maiwasan ang pag-prompt sa iyo ni Apache para sa isang password:
-
openssl rsa -sa server.apache.key -out server.apache.unsecured.key
-
Ipinaliwanag ang mga pagpipilian:
- rsa - Nagpapatakbo ng programa sa pag-encrypt ng RSA
- -sa server.apache.key - Ang pangunahing pangalan na nais mong i-convert.
- -out server.apache.unsecured.key - Ang pangalan ng file ng bagong unsecured key
Hakbang 6. Gamitin ang nagresultang file ng server.apache.pem kasama ang pribadong key na nabuo mo sa hakbang 1 upang mai-configure ang iyong apache2.conf file
Bahagi 3 ng 4: Lumilikha ng isang Sertipiko ng Gumagamit para sa Pagpapatotoo
Hakbang 1. Sundin ang lahat ng mga hakbang sa _Paglikha ng Mga SSL Certificate para sa Apache_
Hakbang 2. I-convert ang iyong pirmadong sertipiko sa isang PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
Bahagi 4 ng 4: Lumilikha ng S / MIME E-mail na Mga Sertipiko
Hakbang 1. Lumikha ng isang pribadong key
openssl genrsa -des3 -out private_email.key 2048
Hakbang 2. Lumikha ng isang Kahilingan sa Pag-sign ng Certificate
openssl req -new -key private_email.key -out private_email.csr
Hakbang 3. Gamitin ang iyong sertipiko ng CA upang mag-sign ang bagong key
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Hakbang 4. I-convert ang sertipiko sa PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Hakbang 5. Lumikha ng sertipiko ng Public Key para sa pamamahagi
openssl pkcs12 -export -out public_cert.p12 -sa pribado_email.pem -clcerts -nokeys -name "WikiHow's Public Key"
Mga Tip
Maaari mong iba-iba ang mga nilalaman ng mga key ng PEM sa pamamagitan ng pag-isyu ng sumusunod na utos: openssl x509 -noout -text -in certificate.pem
Mga babala
- Ang mga 1024-bit na key ay itinuturing na lipas na. Ang mga 2048-bit na key ay itinuturing na ligtas para sa mga sertipiko ng gumagamit hanggang 2030, ngunit itinuturing na hindi sapat para sa mga sertipiko ng ugat. Isaalang-alang ang mga kahinaan na ito habang ginagawa mo ang iyong mga sertipiko.
- Bilang default, ang karamihan sa mga modernong browser ay magpapakita ng babalang "Hindi pinagkakatiwalaang sertipiko" kapag may bumisita sa iyong site. Nagkaroon ng maraming debate tungkol sa mga salita ng mga babalang ito, dahil ang mga gumagamit na hindi pang-teknikal ay maaaring mahuli nang bantay. Kadalasang pinakamahusay na gumamit ng isang pangunahing awtoridad upang hindi makuha ng mga gumagamit ang mga babala.