Cara Membuat Sijil Ditandatangani Sendiri Dengan OpenSSL

Cara Membuat Sijil Ditandatangani Sendiri Dengan OpenSSL
Pembaca seperti anda membantu menyokong MUO. Apabila anda membuat pembelian menggunakan pautan di tapak kami, kami mungkin mendapat komisen ahli gabungan. Baca Lagi.

Sijil SSL/TLS adalah penting untuk melindungi aplikasi web atau pelayan anda. Walaupun beberapa pihak berkuasa sijil yang boleh dipercayai menyediakan sijil SSL/TLS dengan kos, anda juga boleh menjana sijil yang ditandatangani sendiri menggunakan OpenSSL. Walaupun sijil yang ditandatangani sendiri tidak mempunyai pengesahan pihak berkuasa yang dipercayai, ia masih boleh menyulitkan trafik web anda. Jadi bagaimana anda boleh menggunakan OpenSSL untuk menjana sijil yang ditandatangani sendiri untuk tapak web atau pelayan anda?





MAKEUSEOF VIDEO OF THE DAY SCROLL UNTUK MENERUSKAN KANDUNGAN

Bagaimana untuk Memasang OpenSSL

OpenSSL ialah perisian sumber terbuka. Tetapi jika anda tidak mempunyai latar belakang pengaturcaraan dan bimbang tentang proses binaan, ia mempunyai sedikit persediaan teknikal. Untuk mengelakkan ini, anda boleh memuat turun versi terkini kod OpenSSL, disusun sepenuhnya dan sedia untuk dipasang, daripada laman web slproweb .



Di sini, pilih sambungan MSI versi OpenSSL terkini yang sesuai untuk sistem anda.





Tangkapan skrin dari tapak web slproweb untuk muat turun OpenSSL

Sebagai contoh, pertimbangkan OpenSSL di D:\OpenSSL-Win64 . Anda boleh mengubah ini. Jika pemasangan selesai, buka PowerShell sebagai pentadbir dan navigasi ke subfolder bernama tong sampah dalam folder tempat anda memasang OpenSSL. Untuk melakukan ini, gunakan arahan berikut:

 cd 'D:\OpenSSL-Win64\bin'

Anda kini mempunyai akses kepada openssl.exe dan boleh menjalankannya walau bagaimanapun anda mahu.



Menjalankan arahan versi untuk melihat sama ada openssl dipasang

Jana Kunci Peribadi Anda Dengan OpenSSL

Anda memerlukan kunci peribadi untuk membuat sijil yang ditandatangani sendiri. Dalam folder bin yang sama, anda boleh mencipta kunci peribadi ini dengan memasukkan arahan berikut dalam PowerShell sebaik sahaja anda membuka sebagai pentadbir.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Perintah ini akan menjana kunci peribadi RSA yang disulitkan 3DES panjang 2048-bit melalui OpenSSL. OpenSSL akan meminta anda memasukkan kata laluan. Anda harus menggunakan a kata laluan yang kuat dan mudah diingati . Selepas memasukkan kata laluan yang sama dua kali, anda akan berjaya menghasilkan kunci peribadi RSA anda.



Output arahan yang digunakan untuk menjana kunci RSA

Anda boleh mencari kunci RSA peribadi anda dengan nama itu myPrivateKey.key .

Cara Membuat Fail CSR Dengan OpenSSL

Kunci persendirian yang anda buat tidak akan mencukupi dengan sendirinya. Selain itu, anda memerlukan fail CSR untuk membuat sijil yang ditandatangani sendiri. Untuk mencipta fail CSR ini, anda perlu memasukkan arahan baharu dalam PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL juga akan meminta kata laluan yang anda masukkan untuk menjana kunci peribadi di sini. Ia selanjutnya akan meminta maklumat undang-undang dan peribadi anda. Berhati-hati anda memasukkan maklumat ini dengan betul.

Output arahan yang digunakan untuk menjana fail CSR

Di samping itu, adalah mungkin untuk melakukan semua operasi setakat ini dengan satu baris arahan. Jika anda menggunakan arahan di bawah, anda boleh menjana kedua-dua kunci RSA peribadi anda dan fail CSR sekaligus:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Output arahan yang digunakan untuk mencipta fail RSA dan CSR sekali gus

Anda kini akan dapat melihat fail bernama myCertRequest.csr dalam direktori yang berkaitan. Fail CSR yang anda buat ini mengandungi beberapa maklumat tentang:

fail dibuka dalam program lain
  • Institusi yang meminta sijil.
  • Nama Biasa (iaitu nama domain).
  • Kunci Awam (untuk tujuan penyulitan).

Fail CSR yang anda buat perlu disemak dan diluluskan oleh pihak berkuasa tertentu. Untuk ini, anda perlu menghantar fail CSR terus kepada pihak berkuasa sijil atau institusi perantara lain.

Pihak berkuasa dan syarikat broker ini memeriksa sama ada maklumat yang anda berikan adalah betul, bergantung pada jenis sijil yang anda inginkan. Anda juga mungkin perlu menghantar beberapa dokumen di luar talian (faks, mel, dll.) untuk membuktikan sama ada maklumat itu betul.

Penyediaan Sijil oleh Pihak Berkuasa Pensijilan

Apabila anda menghantar fail CSR yang anda buat kepada pihak berkuasa sijil yang sah, pihak berkuasa sijil menandatangani fail tersebut dan menghantar sijil kepada institusi atau orang yang meminta. Dengan berbuat demikian, pihak berkuasa pensijilan (juga dikenali sebagai CA) juga membuat fail PEM daripada fail CSR dan RSA. Fail PEM ialah fail terakhir yang diperlukan untuk sijil yang ditandatangani sendiri. Peringkat-peringkat ini memastikan bahawa Sijil SSL kekal teratur, boleh dipercayai dan selamat .

Anda juga boleh membuat fail PEM sendiri dengan OpenSSL. Walau bagaimanapun, ini boleh menimbulkan potensi risiko kepada keselamatan sijil anda kerana kesahihan atau kesahihan sijil tersebut tidak jelas. Selain itu, fakta bahawa sijil anda tidak dapat disahkan mungkin menyebabkannya tidak berfungsi dalam sesetengah aplikasi dan persekitaran. Jadi untuk contoh sijil yang ditandatangani sendiri ini, kita boleh menggunakan fail PEM palsu, tetapi, sudah tentu, ini tidak boleh dilakukan dalam penggunaan dunia sebenar.

Buat masa ini, bayangkan fail PEM bernama myPemKey.pem datang daripada pihak berkuasa sijil rasmi. Anda boleh menggunakan arahan berikut untuk mencipta fail PEM untuk diri sendiri:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Jika anda mempunyai fail sedemikian, arahan yang perlu anda gunakan untuk sijil yang ditandatangani sendiri ialah:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Perintah ini bermakna bahawa fail CSR ditandatangani dengan kunci peribadi bernama myPemKey.pem , sah selama 365 hari. Akibatnya, anda mencipta fail sijil bernama mySelfSignedCert.cer .

Imej bahawa sijil yang ditandatangani sendiri wujud dalam folder

Maklumat Sijil yang Ditandatangani Sendiri

Anda boleh menggunakan arahan berikut untuk menyemak maklumat pada sijil yang ditandatangani sendiri yang telah anda buat:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Ini akan menunjukkan kepada anda semua maklumat yang terkandung dalam sijil. Anda boleh melihat banyak maklumat seperti maklumat syarikat atau peribadi dan algoritma yang digunakan dalam sijil.

Bagaimana jika Sijil Ditandatangani Sendiri Tidak Ditandatangani oleh Pihak Berkuasa Pensijilan?

Adalah penting untuk mengaudit sijil yang ditandatangani sendiri yang anda buat dan mengesahkan bahawa sijil ini selamat. Pembekal sijil pihak ketiga (iaitu CA) biasanya melakukan ini. Jika anda tidak mempunyai sijil yang ditandatangani dan diluluskan oleh pihak berkuasa sijil pihak ketiga, dan anda menggunakan sijil yang tidak diluluskan ini, anda akan menghadapi beberapa isu keselamatan.

Penggodam boleh menggunakan sijil yang ditandatangani sendiri untuk membuat salinan tapak web palsu, contohnya. Ini membolehkan penyerang mencuri maklumat pengguna. Mereka juga boleh mendapatkan nama pengguna, kata laluan atau maklumat sensitif pengguna anda yang lain.

Untuk memastikan keselamatan pengguna, tapak web dan perkhidmatan lain biasanya perlu menggunakan sijil yang benar-benar diperakui oleh CA. Ini memberikan jaminan bahawa data pengguna disulitkan dan menyambung ke pelayan yang betul.

Mencipta Sijil Ditandatangani Sendiri pada Windows

Seperti yang anda lihat, mencipta sijil yang ditandatangani sendiri pada Windows dengan OpenSSL agak mudah. Tetapi perlu diingat bahawa anda juga memerlukan kelulusan daripada pihak berkuasa pensijilan.

Walau bagaimanapun, membuat sijil sedemikian menunjukkan anda mengambil serius keselamatan pengguna, bermakna mereka akan lebih mempercayai anda, tapak anda dan jenama keseluruhan anda.