Pokažite obiskovalcem vašega spletnega mesta, da njihovo varnost jemljete resno, tako da ustvarite lasten certifikat SSL z uporabo OpenSSL.
Certifikati SSL/TLS so bistveni za zaščito vaše spletne aplikacije ali strežnika. Medtem ko številni zanesljivi overitelji potrdil ponujajo potrdila SSL/TLS za ceno, je mogoče ustvariti tudi samopodpisano potrdilo z uporabo OpenSSL. Čeprav samopodpisana potrdila nimajo potrditve zaupanja vrednega organa, lahko še vedno šifrirajo vaš spletni promet. Torej, kako lahko uporabite OpenSSL za ustvarjanje samopodpisanega potrdila za vaše spletno mesto ali strežnik?
Kako namestiti OpenSSL
OpenSSL je odprtokodna programska oprema. Če pa nimate izkušenj s programiranjem in vas skrbi proces izdelave, ima nekaj tehničnih nastavitev. Da bi se temu izognili, lahko prenesete najnovejšo različico kode OpenSSL, ki je v celoti prevedena in pripravljena za namestitev, s spletno mesto slproweb.
Tukaj izberite razširitev MSI najnovejše različice OpenSSL, primerne za vaš sistem.
Kot primer upoštevajte OpenSSL na D:\OpenSSL-Win64. To lahko spremenite. Če je namestitev končana, odprite PowerShell kot skrbnik in se pomaknite do imenovane podmape koš v mapi, kjer ste namestili OpenSSL. Če želite to narediti, uporabite naslednji ukaz:
cd'D:\OpenSSL-Win64\bin'
Zdaj imate dostop do openssl.exe in ga lahko zaženete, kakor želite.
Ustvarite svoj zasebni ključ z OpenSSL
Za ustvarjanje samopodpisanega potrdila boste potrebovali zasebni ključ. V isti mapi bin lahko ustvarite ta zasebni ključ tako, da vnesete naslednji ukaz v PowerShell, ko ga odprete kot skrbnik.
openssl.exegenrsa-des3-venmyPrivateKey.ključ 2048
Ta ukaz bo prek OpenSSL ustvaril 2048-bitni zasebni ključ RSA, šifriran s 3DES. OpenSSL vas bo prosil, da vnesete geslo. Moral bi uporabiti a močno in zapomnljivo geslo. Ko dvakrat vnesete isto geslo, boste uspešno ustvarili zasebni ključ RSA.
Z imenom lahko najdete svoj zasebni ključ RSA myPrivateKey.key.
Kako ustvariti datoteko CSR z OpenSSL
Zasebni ključ, ki ga ustvarite, sam po sebi ne bo dovolj. Poleg tega potrebujete datoteko CSR za izdelavo samopodpisanega potrdila. Če želite ustvariti to datoteko CSR, morate v lupino PowerShell vnesti nov ukaz:
openssl.exezahtevano-novo-ključmyPrivateKey.ključ-venmyCertRequest.csr
OpenSSL bo zahteval tudi geslo, ki ste ga vnesli za ustvarjanje zasebnega ključa tukaj. Nadalje bo zahteval vaše pravne in osebne podatke. Pazite, da te podatke pravilno vnesete.
Poleg tega je mogoče vse dosedanje operacije izvesti z eno samo ukazno vrstico. Če uporabite spodnji ukaz, lahko ustvarite svoj zasebni ključ RSA in datoteko CSR hkrati:
openssl.exezahtevano-novo-nov ključrsa:2048- vozlišča- ključekmyPrivateKey2.ključ-venmyCertRequest2.csr
Zdaj boste lahko videli datoteko z imenom myCertRequest.csr v ustreznem imeniku. Ta datoteka CSR, ki jo ustvarite, vsebuje nekaj informacij o:
- Institucija, ki zahteva potrdilo.
- Splošno ime (tj. ime domene).
- Javni ključ (za namene šifriranja).
Datoteke CSR, ki jih ustvarite, morajo pregledati in odobriti nekateri organi. Za to morate datoteko CSR poslati neposredno overitelju potrdil ali drugim posredniškim institucijam.
Ti organi in borznoposredniške hiše preverijo, ali so informacije, ki jih posredujete, pravilne, odvisno od narave potrdila, ki ga želite. Morda boste morali nekatere dokumente poslati tudi brez povezave (faks, pošta itd.), da dokažete, ali so informacije pravilne.
Priprava potrdila s strani overitelja
Ko datoteko CSR, ki ste jo ustvarili, pošljete veljavnemu overitelju potrdil, le-ta podpiše datoteko in pošlje potrdilo ustanovi ali osebi, ki je zahtevala. Pri tem certifikacijski organ (znan tudi kot CA) ustvari tudi datoteko PEM iz datotek CSR in RSA. Datoteka PEM je zadnja datoteka, potrebna za samopodpisano potrdilo. Te stopnje to zagotavljajo SSL certifikati ostajajo organizirani, zanesljivi in varni.
Datoteko PEM lahko ustvarite tudi sami z OpenSSL. Vendar pa lahko to predstavlja potencialno tveganje za varnost vašega potrdila, ker pristnost ali veljavnost slednjega ni jasna. Tudi dejstvo, da vašega potrdila ni mogoče preveriti, lahko povzroči, da v nekaterih aplikacijah in okoljih ne deluje. Torej za ta primer samopodpisanega potrdila lahko uporabimo ponarejeno datoteko PEM, vendar to seveda ni mogoče v resnični uporabi.
Za zdaj si predstavljajte datoteko PEM z imenom myPemKey.pem prihaja od uradnega overitelja potrdil. Za ustvarjanje datoteke PEM lahko uporabite naslednji ukaz:
opensslx509-req-sha256-dnevi 365 -inmyCertRequest.csr- ključekmyPrivateKey.ključ-venmyPemKey.pem
Če bi imeli takšno datoteko, bi bil ukaz, ki bi ga morali uporabiti za svoje samopodpisano potrdilo:
openssl.exex509-req-dnevi 365 -inmyCertRequest.csr- ključekmyPemKey.pem-venmySelfSignedCert.cer
Ta ukaz pomeni, da je datoteka CSR podpisana z zasebnim ključem z imenom myPemKey.pem, velja 365 dni. Posledično ustvarite datoteko potrdila z imenom mySelfSignedCert.cer.
Informacije o samopodpisanem potrdilu
Za preverjanje informacij o samopodpisanem potrdilu, ki ste ga ustvarili, lahko uporabite naslednji ukaz:
openssl.exex509-noout-besedilo-inmySelfSignedCert.cer
To vam bo pokazalo vse informacije, ki jih vsebuje potrdilo. Videti je mogoče veliko informacij, kot so podjetje ali osebni podatki ter algoritmi, uporabljeni v potrdilu.
Kaj pa, če samopodpisanih potrdil ne podpiše overitelj potrdil?
Bistveno je, da pregledate samopodpisana potrdila, ki jih ustvarite, in potrdite, da so varna. Ponudnik certifikata tretje osebe (tj. CA) običajno to stori. Če nimate potrdila, ki ga je podpisal in odobril overitelj potrdil tretje osebe, in uporabljate to neodobreno potrdilo, boste naleteli na nekaj varnostnih težav.
Hekerji lahko uporabijo vaše samopodpisano potrdilo, da na primer ustvarijo lažno kopijo spletnega mesta. To napadalcu omogoča krajo podatkov uporabnikov. Prav tako se lahko dokopajo do uporabniških imen, gesel ali drugih občutljivih podatkov vaših uporabnikov.
Da bi zagotovili varnost uporabnikov, morajo spletna mesta in druge storitve običajno uporabljati potrdila, ki jih je dejansko potrdil CA. To zagotavlja, da so podatki uporabnika šifrirani in se povezujejo s pravim strežnikom.
Ustvarjanje samopodpisanih potrdil v sistemu Windows
Kot lahko vidite, je ustvarjanje samopodpisanega potrdila v sistemu Windows z OpenSSL precej preprosto. Vendar ne pozabite, da boste potrebovali tudi odobritev certifikacijskih organov.
Kljub temu izdelava takšnega certifikata dokazuje, da jemljete varnost uporabnikov resno, kar pomeni, da bodo bolj zaupali vam, vašemu spletnemu mestu in vaši splošni blagovni znamki.
