Cum se creează un certificat autosemnat cu OpenSSL

Cum se creează un certificat autosemnat cu OpenSSL
Cititorii ca tine ajută la sprijinirea MUO. Când efectuați o achiziție folosind link-uri de pe site-ul nostru, este posibil să câștigăm un comision de afiliat. Citeşte mai mult.

Certificatele SSL/TLS sunt esențiale pentru securizarea aplicației sau serverului dvs. web. În timp ce mai multe autorități de certificare de încredere oferă certificate SSL/TLS contra cost, este, de asemenea, posibil să se genereze un certificat autosemnat folosind OpenSSL. Chiar dacă certificatele autosemnate nu au aprobarea unei autorități de încredere, ele pot încă cripta traficul dvs. web. Deci, cum puteți utiliza OpenSSL pentru a genera un certificat autosemnat pentru site-ul sau serverul dvs.?





REALIZAREA VIDEOCLIPULUI ZILEI DEfilați PENTRU A CONTINUA CU CONȚINUT

Cum se instalează OpenSSL

OpenSSL este un software open-source. Dar dacă nu ai un fundal în programare și ești îngrijorat de procesele de construire, are o configurație puțin tehnică. Pentru a evita acest lucru, puteți descărca cea mai recentă versiune a codului OpenSSL, complet compilat și gata de instalare, de la site-ul slproweb .



Aici, selectați extensia MSI a celei mai recente versiuni OpenSSL potrivite pentru sistemul dvs.





Captură de ecran de pe site-ul web slproweb pentru descărcare OpenSSL

Ca exemplu, luați în considerare OpenSSL la D:\OpenSSL-Win64 . Puteți schimba acest lucru. Dacă instalarea este completă, deschide PowerShell ca administrator și navigați la subdosarul numit cos în folderul în care ați instalat OpenSSL. Pentru a face acest lucru, utilizați următoarea comandă:

 cd 'D:\OpenSSL-Win64\bin'

Acum aveți acces la openssl.exe și îl puteți rula cum doriți.



Rularea comenzii versiune pentru a vedea dacă este instalat openssl

Generați-vă cheia privată cu OpenSSL

Veți avea nevoie de o cheie privată pentru a crea un certificat autosemnat. În același folder bin, puteți crea această cheie privată introducând următoarea comandă în PowerShell după ce ați deschis-o ca administrator.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Această comandă va genera o cheie privată RSA de 2048 de biți, criptată 3DES, prin OpenSSL. OpenSSL vă va cere să introduceți o parolă. Ar trebui să utilizați a parolă puternică și memorabilă . După ce ați introdus aceeași parolă de două ori, veți fi generat cu succes cheia privată RSA.



Ieșirea comenzii utilizată pentru a genera cheia RSA

Puteți găsi cheia dvs. RSA privată cu numele myPrivateKey.key .

cum să vă încărcați creionul de mere

Cum se creează un fișier CSR cu OpenSSL

Cheia privată pe care o creați nu va fi suficientă singură. În plus, aveți nevoie de un fișier CSR pentru a face un certificat autosemnat. Pentru a crea acest fișier CSR, trebuie să introduceți o nouă comandă în PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL va cere, de asemenea, parola pe care ați introdus-o pentru a genera cheia privată aici. În continuare, va solicita informațiile dvs. juridice și personale. Aveți grijă să introduceți corect aceste informații.

Ieșirea comenzii utilizată pentru a genera fișierul CSR

În plus, este posibil să faceți toate operațiunile de până acum cu o singură linie de comandă. Dacă utilizați comanda de mai jos, puteți genera simultan atât cheia RSA privată, cât și fișierul CSR:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Ieșire de comandă folosită pentru a crea fișiere RSA și CSR dintr-o singură mișcare

Acum veți putea vedea fișierul numit myCertRequest.csr în directorul relevant. Acest fișier CSR pe care îl creați conține câteva informații despre:

  • Instituția care solicită certificatul.
  • Nume comun (adică numele domeniului).
  • Cheie publică (în scopuri de criptare).

Fișierele CSR pe care le creați trebuie să fie revizuite și aprobate de anumite autorități. Pentru aceasta, trebuie să trimiteți fișierul CSR direct autorității de certificare sau altor instituții intermediare.

Aceste autorități și case de brokeraj examinează dacă informațiile pe care le furnizați sunt corecte, în funcție de natura certificatului pe care îl doriți. De asemenea, poate fi necesar să trimiteți unele documente offline (fax, poștă etc.) pentru a dovedi dacă informațiile sunt corecte.

Pregătirea certificatului de către o autoritate de certificare

Când trimiteți fișierul CSR pe care l-ați creat unei autorități de certificare valide, autoritatea de certificare semnează fișierul și trimite certificatul instituției sau persoanei solicitante. Procedând astfel, autoritatea de certificare (cunoscută și ca CA) creează și un fișier PEM din fișierele CSR și RSA. Fișierul PEM este ultimul fișier necesar pentru un certificat autosemnat. Aceste etape asigură că Certificatele SSL rămân organizate, de încredere și sigure .

câți bani costă un Xbox One

De asemenea, puteți crea singur fișierul PEM cu OpenSSL. Cu toate acestea, acest lucru poate reprezenta un risc potențial pentru securitatea certificatului dvs., deoarece autenticitatea sau validitatea acestuia din urmă nu este clară. De asemenea, faptul că certificatul dvs. nu este verificabil poate face ca acesta să nu funcționeze în unele aplicații și medii. Deci, pentru acest exemplu de certificat autosemnat, putem folosi un fișier PEM fals, dar, desigur, acest lucru nu este posibil în utilizarea în lumea reală.

Pentru moment, imaginați-vă un fișier PEM numit myPemKey.pem provine de la o autoritate oficială de certificare. Puteți utiliza următoarea comandă pentru a crea un fișier PEM pentru dvs.:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Dacă ați avea un astfel de fișier, comanda pe care ar trebui să o utilizați pentru certificatul autosemnat ar fi:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Această comandă înseamnă că fișierul CSR este semnat cu o cheie privată numită myPemKey.pem , valabil 365 de zile. Ca rezultat, creați un fișier de certificat numit mySelfSignedCert.cer .

Imagine că certificatul autosemnat există în dosar

Informații despre certificat autosemnat

Puteți utiliza următoarea comandă pentru a verifica informațiile de pe certificatul autosemnat pe care l-ați creat:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Aceasta vă va afișa toate informațiile conținute în certificat. Este posibil să vedeți o mulțime de informații precum compania sau informațiile personale și algoritmii utilizați în certificat.

Ce se întâmplă dacă certificatele autosemnate nu sunt semnate de autoritatea de certificare?

Este esențial să auditați certificatele autosemnate pe care le creați și să confirmați că acestea sunt sigure. De obicei, un furnizor de certificate terță parte (adică un CA) face acest lucru. Dacă nu aveți un certificat semnat și aprobat de o autoritate de certificare terță parte și utilizați acest certificat neaprobat, veți întâmpina unele probleme de securitate.

Hackerii pot folosi certificatul dvs. autosemnat pentru a crea o copie falsă a unui site web, de exemplu. Acest lucru permite unui atacator să fure informațiile utilizatorilor. De asemenea, pot obține numele de utilizator, parolele sau alte informații sensibile ale utilizatorilor dvs.

Pentru a asigura securitatea utilizatorilor, site-urile web și alte servicii trebuie de obicei să utilizeze certificate care sunt de fapt certificate de o CA. Acest lucru oferă o asigurare că datele utilizatorului sunt criptate și se conectează la serverul corect.

Crearea certificatelor autosemnate pe Windows

După cum puteți vedea, crearea unui certificat autosemnat pe Windows cu OpenSSL este destul de simplă. Dar rețineți că veți avea nevoie și de aprobarea autorităților de certificare.

Cu toate acestea, realizarea unui astfel de certificat arată că iei în serios securitatea utilizatorilor, ceea ce înseamnă că aceștia vor avea mai multă încredere în tine, în site-ul tău și în marca ta generală.