Kako stvoriti samopotpisani certifikat s OpenSSL-om

Kako stvoriti samopotpisani certifikat s OpenSSL-om
Čitatelji poput vas podržavaju MUO. Kada kupite putem poveznica na našoj stranici, možemo zaraditi partnersku proviziju. Čitaj više.

SSL/TLS certifikati neophodni su za zaštitu vaše web aplikacije ili poslužitelja. Dok nekoliko pouzdanih certifikacijskih tijela nudi SSL/TLS certifikate uz naplatu, također je moguće generirati samopotpisani certifikat pomoću OpenSSL-a. Iako samopotpisani certifikati nemaju odobrenje pouzdanog tijela, oni i dalje mogu šifrirati vaš web promet. Dakle, kako možete koristiti OpenSSL za generiranje samopotpisanog certifikata za vaše web mjesto ili poslužitelj?





MAKEUSEOF VIDEO DANA POMICI SE ZA NASTAVAK SA SADRŽAJEM

Kako instalirati OpenSSL

OpenSSL je softver otvorenog koda. Ali ako nemate iskustvo u programiranju i zabrinuti ste za procese izrade, ima malo tehničkih postavki. Kako biste to izbjegli, možete preuzeti najnoviju verziju koda OpenSSL-a, potpuno kompiliranu i spremnu za instalaciju, s slprowebova stranica .



zašto se hbo max stalno ruši

Ovdje odaberite MSI ekstenziju najnovije OpenSSL verzije koja odgovara vašem sustavu.





Snimka zaslona s web stranice slproweb za OpenSSL preuzimanje

Kao primjer, razmotrite OpenSSL na D:\OpenSSL-Win64 . Možete promijeniti ovo. Ako je instalacija završena, otvorite PowerShell kao administrator i dođite do podmape pod nazivom kanta za smeće u mapi u kojoj ste instalirali OpenSSL. Da biste to učinili, koristite sljedeću naredbu:

 cd 'D:\OpenSSL-Win64\bin'

Sada imate pristup openssl.exe i možete ga pokrenuti kako god želite.



Pokretanje naredbe verzije da se vidi je li openssl instaliran

Generirajte svoj privatni ključ s OpenSSL-om

Za izradu samopotpisanog certifikata trebat će vam privatni ključ. U istoj mapi bin možete stvoriti ovaj privatni ključ unosom sljedeće naredbe u PowerShell nakon što ga otvorite kao administrator.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Ova naredba će generirati 2048-bitni RSA privatni ključ šifriran 3DES-om putem OpenSSL-a. OpenSSL će od vas tražiti da unesete lozinku. Trebali biste koristiti a jaka i nezaboravna lozinka . Nakon što dvaput unesete istu lozinku, uspješno ćete generirati svoj RSA privatni ključ.



Izlaz naredbe koja se koristi za generiranje RSA ključa

Možete pronaći svoj privatni RSA ključ s imenom myPrivateKey.ključ .

Kako stvoriti CSR datoteku s OpenSSL-om

Privatni ključ koji izradite neće biti dovoljan sam po sebi. Osim toga, potrebna vam je CSR datoteka za izradu samopotpisanog certifikata. Da biste stvorili ovu CSR datoteku, trebate unijeti novu naredbu u PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL će također tražiti lozinku koju ste unijeli za generiranje privatnog ključa ovdje. Nadalje će tražiti vaše pravne i osobne podatke. Pazite da ispravno unesete ove podatke.

Izlaz naredbe koja se koristi za generiranje CSR datoteke

Osim toga, sve dosadašnje radnje moguće je obaviti s jednom naredbenom retkom. Ako koristite naredbu u nastavku, možete generirati i svoj privatni RSA ključ i CSR datoteku odjednom:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Izlaz naredbe za stvaranje RSA i CSR datoteka u jednom potezu

Sada ćete moći vidjeti datoteku pod nazivom myCertRequest.csr u odgovarajućem imeniku. Ova CSR datoteka koju izradite sadrži neke informacije o:

  • Institucija koja traži potvrdu.
  • Common Name (tj. naziv domene).
  • Javni ključ (za potrebe šifriranja).

CSR datoteke koje izradite moraju pregledati i odobriti određena tijela. Da biste to učinili, CSR datoteku trebate poslati izravno certifikacijskom tijelu ili drugim posredničkim institucijama.

Ta tijela i brokerske kuće provjeravaju jesu li podaci koje dajete točni, ovisno o prirodi željenog certifikata. Možda ćete također trebati poslati neke dokumente izvan mreže (faks, pošta, itd.) kako biste dokazali jesu li informacije točne.

Priprema certifikata od strane certifikacijskog tijela

Kada pošaljete CSR datoteku koju ste izradili valjanom tijelu za izdavanje certifikata, tijelo za izdavanje certifikata potpisuje datoteku i šalje certifikat instituciji ili osobi koja je zatražila. Pritom tijelo za izdavanje certifikata (poznato i kao CA) također stvara PEM datoteku iz CSR i RSA datoteka. PEM datoteka posljednja je datoteka potrebna za samopotpisani certifikat. Ove faze osiguravaju da SSL certifikati ostaju organizirani, pouzdani i sigurni .

Također možete sami izraditi PEM datoteku pomoću OpenSSL-a. Međutim, to može predstavljati potencijalni rizik za sigurnost vašeg certifikata jer autentičnost ili valjanost potonjeg nije jasna. Također, činjenica da se vaš certifikat ne može provjeriti može uzrokovati da ne radi u nekim aplikacijama i okruženjima. Dakle, za ovaj primjer samopotpisanog certifikata, možemo koristiti lažnu PEM datoteku, ali, naravno, to nije moguće u stvarnoj upotrebi.

Za sada zamislite PEM datoteku pod nazivom myPemKey.pem dolazi od službenog tijela za izdavanje certifikata. Možete koristiti sljedeću naredbu za izradu PEM datoteke za sebe:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Da imate takvu datoteku, naredba koju biste trebali koristiti za svoj samopotpisani certifikat bila bi:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Ova naredba znači da je CSR datoteka potpisana privatnim ključem pod nazivom myPemKey.pem , vrijedi 365 dana. Kao rezultat, stvarate datoteku certifikata pod nazivom mySelfSignedCert.cer .

Slika da samopotpisani certifikat postoji u mapi

Informacije o samopotpisanom certifikatu

Možete koristiti sljedeću naredbu za provjeru informacija o samopotpisanom certifikatu koji ste izradili:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Ovo će vam pokazati sve informacije sadržane u potvrdi. Moguće je vidjeti mnoštvo informacija poput tvrtke ili osobnih podataka te algoritama koji se koriste u certifikatu.

Što ako samopotpisane certifikate ne potpiše tijelo za izdavanje certifikata?

Neophodno je provjeriti samopotpisane certifikate koje izradite i potvrditi da su sigurni. To obično radi davatelj certifikata treće strane (tj. CA). Ako nemate certifikat koji je potpisao i odobrio davatelj certifikata treće strane, a koristite ovaj neodobreni certifikat, naići ćete na neke sigurnosne probleme.

Hakeri mogu koristiti vaš samopotpisani certifikat za stvaranje lažne kopije web stranice, na primjer. To napadaču omogućuje krađu podataka korisnika. Također se mogu dokopati korisničkih imena, lozinki ili drugih osjetljivih informacija.

Kako bi se osigurala sigurnost korisnika, web-mjesta i druge usluge obično moraju koristiti certifikate koje je stvarno certificirao CA. Time se jamči da su korisnički podaci šifrirani i da se povezuju s ispravnim poslužiteljem.

Stvaranje samopotpisanih certifikata u sustavu Windows

Kao što vidite, stvaranje samopotpisanog certifikata u sustavu Windows s OpenSSL-om prilično je jednostavno. Ali imajte na umu da će vam trebati i odobrenje certifikacijskih tijela.

Unatoč tome, izrada takvog certifikata pokazuje da ozbiljno shvaćate sigurnost korisnika, što znači da će više vjerovati vama, vašoj web-lokaciji i vašoj cjelokupnoj robnoj marki.