Покажете на посетителите на вашия сайт, че приемате тяхната сигурност сериозно, като създадете свой собствен SSL сертификат с помощта на OpenSSL.

SSL/TLS сертификатите са от съществено значение за защитата на вашето уеб приложение или сървър. Докато няколко надеждни сертифициращи органи предоставят SSL/TLS сертификати срещу заплащане, също е възможно да се генерира самоподписан сертификат с помощта на OpenSSL. Въпреки че на самоподписаните сертификати липсва одобрението на доверен орган, те все още могат да криптират вашия уеб трафик. И така, как можете да използвате OpenSSL за генериране на самоподписан сертификат за вашия уебсайт или сървър?

Как да инсталирате OpenSSL

OpenSSL е софтуер с отворен код. Но ако нямате опит в програмирането и се притеснявате за процесите на изграждане, той има малко технически настройки. За да избегнете това, можете да изтеглите най-новата версия на кода на OpenSSL, напълно компилиран и готов за инсталиране, от сайтът на slproweb.

Тук изберете MSI разширението на най-новата версия на OpenSSL, подходяща за вашата система.

instagram viewer

Като пример, разгледайте OpenSSL на D:\OpenSSL-Win64. Можете да промените това. Ако инсталацията е завършена, отворете PowerShell като администратор и отидете до подпапката с име кошче в папката, в която сте инсталирали OpenSSL. За да направите това, използвайте следната команда:

cd'D:\OpenSSL-Win64\bin'

Вече имате достъп до openssl.exe и можете да го стартирате както искате.

Генерирайте своя частен ключ с OpenSSL

Ще ви е необходим частен ключ, за да създадете самоподписан сертификат. В същата папка bin можете да създадете този частен ключ, като въведете следната команда в PowerShell, след като отворите като администратор.

openssl.exegenrsa-des3-вънmyPrivateKey.ключ 2048

Тази команда ще генерира 2048-битов, криптиран с 3DES RSA частен ключ чрез OpenSSL. OpenSSL ще ви помоли да въведете парола. Трябва да използвате a силна и запомняща се парола. След като въведете една и съща парола два пъти, ще генерирате успешно своя RSA частен ключ.

Можете да намерите своя частен RSA ключ с името myPrivateKey.key.

Как да създадете CSR файл с OpenSSL

Създаденият от вас частен ключ няма да е достатъчен сам по себе си. Освен това ви е необходим CSR файл, за да направите самоподписан сертификат. За да създадете този CSR файл, трябва да въведете нова команда в PowerShell:

openssl.exeизискване-ново- ключmyPrivateKey.ключ-вънmyCertRequest.csr

OpenSSL също ще поиска паролата, която сте въвели, за да генерира частния ключ тук. Освен това ще поиска вашата правна и лична информация. Внимавайте да въведете тази информация правилно.

Освен това е възможно да се извършват всички операции досега с един команден ред. Ако използвате командата по-долу, можете да генерирате едновременно личния си RSA ключ и CSR файла:

openssl.exeизискване-ново-нов ключRSA:2048- възли- ключmyPrivateKey2.ключ-вънmyCertRequest2.csr

Сега ще можете да видите файла с име myCertRequest.csr в съответната директория. Този CSR файл, който създавате, съдържа информация за:

  • Институцията, която иска сертификата.
  • Общо име (т.е. име на домейн).
  • Публичен ключ (за целите на криптиране).

CSR файловете, които създавате, трябва да бъдат прегледани и одобрени от определени органи. За целта трябва да изпратите CSR файла директно до сертифициращия орган или други посреднически институции.

Тези органи и брокерски къщи проверяват дали предоставената от вас информация е правилна в зависимост от естеството на сертификата, който искате. Може също да се наложи да изпратите някои документи офлайн (факс, поща и т.н.), за да докажете дали информацията е правилна.

Изготвяне на удостоверение от Удостоверяващ орган

Когато изпратите CSR файла, който сте създали, до валиден сертифициращ орган, сертифициращият орган подписва файла и изпраща сертификата до искащата институция или лице. По този начин сертифициращият орган (известен също като CA) също създава PEM файл от CSR и RSA файловете. PEM файлът е последният файл, необходим за самоподписан сертификат. Тези етапи гарантират това SSL сертификатите остават организирани, надеждни и сигурни.

Можете също да създадете PEM файл сами с OpenSSL. Това обаче може да представлява потенциален риск за сигурността на вашия сертификат, тъй като автентичността или валидността на последния не е ясна. Освен това фактът, че вашият сертификат не може да бъде проверен, може да доведе до това, че той не работи в някои приложения и среди. Така че за този пример на самоподписан сертификат можем да използваме фалшив PEM файл, но, разбира се, това не е възможно в реална употреба.

Засега си представете PEM файл с име myPemKey.pem идва от официален сертифициращ орган. Можете да използвате следната команда, за да създадете PEM файл за себе си:

opensslx509-изискване-sha256-дни 365 -въвmyCertRequest.csr-ключ за знакmyPrivateKey.ключ-вънmyPemKey.pem

Ако имате такъв файл, командата, която трябва да използвате за вашия самоподписан сертификат, ще бъде:

openssl.exex509-изискване-дни 365 -въвmyCertRequest.csr-ключ за знакmyPemKey.pem-вънmySelfSignedCert.cer

Тази команда означава, че CSR файлът е подписан с частен ключ на име myPemKey.pem, валидна 365 дни. В резултат на това създавате файл със сертификат с име mySelfSignedCert.cer.

Информация за самоподписан сертификат

Можете да използвате следната команда, за да проверите информацията в самоподписания сертификат, който сте създали:

openssl.exex509-ноут-текст-въвmySelfSignedCert.cer

Това ще ви покаже цялата информация, съдържаща се в сертификата. Възможно е да се види много информация като фирмата или лична информация, както и алгоритми, използвани в сертификата.

Какво става, ако самоподписаните сертификати не са подписани от сертифициращия орган?

От съществено значение е да проверите самоподписаните сертификати, които създавате, и да потвърдите, че те са защитени. Доставчикът на сертификат от трета страна (т.е. CA) обикновено прави това. Ако нямате сертификат, подписан и одобрен от сертифициращ орган на трета страна, и използвате този неодобрен сертификат, ще се натъкнете на някои проблеми със сигурността.

Хакерите могат да използват вашия самоподписан сертификат, за да създадат фалшиво копие на уебсайт, например. Това позволява на атакуващ да открадне информацията на потребителите. Те също могат да се доберат до потребителските имена, паролите или друга чувствителна информация на вашите потребители.

За да се гарантира сигурността на потребителите, уебсайтовете и другите услуги обикновено трябва да използват сертификати, които действително са сертифицирани от CA. Това гарантира, че данните на потребителя са криптирани и се свързват с правилния сървър.

Създаване на самоподписани сертификати в Windows

Както можете да видите, създаването на самоподписан сертификат в Windows с OpenSSL е доста просто. Но имайте предвид, че ще ви трябва и одобрение от сертифициращите органи.

Въпреки това издаването на такъв сертификат показва, че приемате сериозно сигурността на потребителите, което означава, че те ще имат повече доверие във вас, вашия сайт и цялостната ви марка.