Sijil SSL/TLS adalah penting untuk melindungi aplikasi web atau pelayan anda. Walaupun beberapa pihak berkuasa sijil yang boleh dipercayai menyediakan sijil SSL/TLS dengan kos, anda juga boleh menjana sijil yang ditandatangani sendiri menggunakan OpenSSL. Walaupun sijil yang ditandatangani sendiri tidak mempunyai pengesahan pihak berkuasa yang dipercayai, ia masih boleh menyulitkan trafik web anda. Jadi bagaimana anda boleh menggunakan OpenSSL untuk menjana sijil yang ditandatangani sendiri untuk tapak web atau pelayan anda?
MAKEUSEOF VIDEO OF THE DAY SCROLL UNTUK MENERUSKAN KANDUNGAN
Bagaimana untuk Memasang OpenSSL
OpenSSL ialah perisian sumber terbuka. Tetapi jika anda tidak mempunyai latar belakang pengaturcaraan dan bimbang tentang proses binaan, ia mempunyai sedikit persediaan teknikal. Untuk mengelakkan ini, anda boleh memuat turun versi terkini kod OpenSSL, disusun sepenuhnya dan sedia untuk dipasang, daripada laman web slproweb .
Di sini, pilih sambungan MSI versi OpenSSL terkini yang sesuai untuk sistem anda.
Sebagai contoh, pertimbangkan OpenSSL di D:\OpenSSL-Win64 . Anda boleh mengubah ini. Jika pemasangan selesai, buka PowerShell sebagai pentadbir dan navigasi ke subfolder bernama tong sampah dalam folder tempat anda memasang OpenSSL. Untuk melakukan ini, gunakan arahan berikut:
cd 'D:\OpenSSL-Win64\bin'
Anda kini mempunyai akses kepada openssl.exe dan boleh menjalankannya walau bagaimanapun anda mahu.
Jana Kunci Peribadi Anda Dengan OpenSSL
Anda memerlukan kunci peribadi untuk membuat sijil yang ditandatangani sendiri. Dalam folder bin yang sama, anda boleh mencipta kunci peribadi ini dengan memasukkan arahan berikut dalam PowerShell sebaik sahaja anda membuka sebagai pentadbir.
openssl.exe genrsa -des3 -out myPrivateKey.key 2048
Perintah ini akan menjana kunci peribadi RSA yang disulitkan 3DES panjang 2048-bit melalui OpenSSL. OpenSSL akan meminta anda memasukkan kata laluan. Anda harus menggunakan a kata laluan yang kuat dan mudah diingati . Selepas memasukkan kata laluan yang sama dua kali, anda akan berjaya menghasilkan kunci peribadi RSA anda.
Anda boleh mencari kunci RSA peribadi anda dengan nama itu myPrivateKey.key .
Cara Membuat Fail CSR Dengan OpenSSL
Kunci persendirian yang anda buat tidak akan mencukupi dengan sendirinya. Selain itu, anda memerlukan fail CSR untuk membuat sijil yang ditandatangani sendiri. Untuk mencipta fail CSR ini, anda perlu memasukkan arahan baharu dalam PowerShell:
openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr
OpenSSL juga akan meminta kata laluan yang anda masukkan untuk menjana kunci peribadi di sini. Ia selanjutnya akan meminta maklumat undang-undang dan peribadi anda. Berhati-hati anda memasukkan maklumat ini dengan betul.
Di samping itu, adalah mungkin untuk melakukan semua operasi setakat ini dengan satu baris arahan. Jika anda menggunakan arahan di bawah, anda boleh menjana kedua-dua kunci RSA peribadi anda dan fail CSR sekaligus:
openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Anda kini akan dapat melihat fail bernama myCertRequest.csr dalam direktori yang berkaitan. Fail CSR yang anda buat ini mengandungi beberapa maklumat tentang:
fail dibuka dalam program lain
- Institusi yang meminta sijil.
- Nama Biasa (iaitu nama domain).
- Kunci Awam (untuk tujuan penyulitan).
Fail CSR yang anda buat perlu disemak dan diluluskan oleh pihak berkuasa tertentu. Untuk ini, anda perlu menghantar fail CSR terus kepada pihak berkuasa sijil atau institusi perantara lain.
Pihak berkuasa dan syarikat broker ini memeriksa sama ada maklumat yang anda berikan adalah betul, bergantung pada jenis sijil yang anda inginkan. Anda juga mungkin perlu menghantar beberapa dokumen di luar talian (faks, mel, dll.) untuk membuktikan sama ada maklumat itu betul.
Penyediaan Sijil oleh Pihak Berkuasa Pensijilan
Apabila anda menghantar fail CSR yang anda buat kepada pihak berkuasa sijil yang sah, pihak berkuasa sijil menandatangani fail tersebut dan menghantar sijil kepada institusi atau orang yang meminta. Dengan berbuat demikian, pihak berkuasa pensijilan (juga dikenali sebagai CA) juga membuat fail PEM daripada fail CSR dan RSA. Fail PEM ialah fail terakhir yang diperlukan untuk sijil yang ditandatangani sendiri. Peringkat-peringkat ini memastikan bahawa Sijil SSL kekal teratur, boleh dipercayai dan selamat .
Anda juga boleh membuat fail PEM sendiri dengan OpenSSL. Walau bagaimanapun, ini boleh menimbulkan potensi risiko kepada keselamatan sijil anda kerana kesahihan atau kesahihan sijil tersebut tidak jelas. Selain itu, fakta bahawa sijil anda tidak dapat disahkan mungkin menyebabkannya tidak berfungsi dalam sesetengah aplikasi dan persekitaran. Jadi untuk contoh sijil yang ditandatangani sendiri ini, kita boleh menggunakan fail PEM palsu, tetapi, sudah tentu, ini tidak boleh dilakukan dalam penggunaan dunia sebenar.
Buat masa ini, bayangkan fail PEM bernama myPemKey.pem datang daripada pihak berkuasa sijil rasmi. Anda boleh menggunakan arahan berikut untuk mencipta fail PEM untuk diri sendiri:
openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem
Jika anda mempunyai fail sedemikian, arahan yang perlu anda gunakan untuk sijil yang ditandatangani sendiri ialah:
openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer
Perintah ini bermakna bahawa fail CSR ditandatangani dengan kunci peribadi bernama myPemKey.pem , sah selama 365 hari. Akibatnya, anda mencipta fail sijil bernama mySelfSignedCert.cer .
Maklumat Sijil yang Ditandatangani Sendiri
Anda boleh menggunakan arahan berikut untuk menyemak maklumat pada sijil yang ditandatangani sendiri yang telah anda buat:
openssl.exe x509 -noout -text -in mySelfSignedCert.cer
Ini akan menunjukkan kepada anda semua maklumat yang terkandung dalam sijil. Anda boleh melihat banyak maklumat seperti maklumat syarikat atau peribadi dan algoritma yang digunakan dalam sijil.
Bagaimana jika Sijil Ditandatangani Sendiri Tidak Ditandatangani oleh Pihak Berkuasa Pensijilan?
Adalah penting untuk mengaudit sijil yang ditandatangani sendiri yang anda buat dan mengesahkan bahawa sijil ini selamat. Pembekal sijil pihak ketiga (iaitu CA) biasanya melakukan ini. Jika anda tidak mempunyai sijil yang ditandatangani dan diluluskan oleh pihak berkuasa sijil pihak ketiga, dan anda menggunakan sijil yang tidak diluluskan ini, anda akan menghadapi beberapa isu keselamatan.
Penggodam boleh menggunakan sijil yang ditandatangani sendiri untuk membuat salinan tapak web palsu, contohnya. Ini membolehkan penyerang mencuri maklumat pengguna. Mereka juga boleh mendapatkan nama pengguna, kata laluan atau maklumat sensitif pengguna anda yang lain.
Untuk memastikan keselamatan pengguna, tapak web dan perkhidmatan lain biasanya perlu menggunakan sijil yang benar-benar diperakui oleh CA. Ini memberikan jaminan bahawa data pengguna disulitkan dan menyambung ke pelayan yang betul.
Mencipta Sijil Ditandatangani Sendiri pada Windows
Seperti yang anda lihat, mencipta sijil yang ditandatangani sendiri pada Windows dengan OpenSSL agak mudah. Tetapi perlu diingat bahawa anda juga memerlukan kelulusan daripada pihak berkuasa pensijilan.
Walau bagaimanapun, membuat sijil sedemikian menunjukkan anda mengambil serius keselamatan pengguna, bermakna mereka akan lebih mempercayai anda, tapak anda dan jenama keseluruhan anda.