Хэрхэн өөрийн хувийн гэрчилгээ эрхлэгч болох вэ (зурагтай)

Алхам 4. Гэрчилгээнд өөрөө гарын үсэг зурна уу

• openssl ca -extensions v3_ca -out server. CA -sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr

• Сонголтуудыг тайлбарлав:

  • ca - Сертификатын эрх мэдлийн модулийг ачаална
  • -extension v3_ca -Орчин үеийн хөтөч дээр ашиглах ёстой v3_ca өргөтгөлийг ачаална.
  • -out server. CA -signed.crt -Таны шинэ гарын үсэг зурсан түлхүүрийн нэр
  • -keyfile server. CA.key - 1 -р алхамд таны үүсгэсэн хувийн түлхүүр
  • -verbose - хүсэлтийг үүсгэж байх үед дэлгэрэнгүй мэдээллийг харуулна (заавал биш)
  • -Selfsign - Та хүсэлтэд гарын үсэг зурахдаа ижил түлхүүрийг ашиглаж байгаагаа openssl -д хэлнэ
  • -md sha256 - Мессежийг ашиглах шифрлэлтийн алгоритм. (Хэрэв та энэ юу болохыг мэдэхгүй бол үүнийг бүү өөрчил. Та юу хийж байгаагаа мэдэж байж л үүнийг өөрчлөх ёстой)
  • -enddate 330630235959Z - Гэрчилгээний дуусах огноо. Тэмдэглэгээ нь YYMMDDHHMMSSZ бөгөөд Z нь GMT -д байдаг, заримдаа "Зулу" цаг гэж нэрлэдэг.
  • -infiles server. CA.csr - дээрх алхамыг үүсгэсэн гарын үсэг зурах хүсэлтийн файл.

Алхам 5. CA гэрчилгээгээ шалгана уу

• openssl x509 -noout -text -in server. CA.crt

• Сонголтуудыг тайлбарлав:

  • x509 - Гарын үсэг зурсан гэрчилгээг шалгахын тулд x509 модулийг ачаална.
  • -ноут - Кодлогдсон текстийг бүү гарга
  • -text - мэдээллийг дэлгэцэн дээр гаргах
  • -in server. CA.crt - Гарын үсэг зурсан гэрчилгээг ачаална уу
• Server. CA.crt файлыг таны вэбсайтыг ашиглах эсвэл гарын үсэг зурахаар төлөвлөж буй гэрчилгээг ашиглах бүх хүмүүст тарааж болно.

4 -ийн 2 -р хэсэг: Apache гэх мэт үйлчилгээнд SSL сертификат үүсгэх

Алхам 1. Хувийн түлхүүр үүсгэх

• openssl genrsa -des3 -out server.apache.key 2048

• Сонголтуудыг тайлбарлав:

  • openssl - програм хангамжийн нэр
  • genrsa - шинэ хувийн түлхүүр үүсгэнэ
  • -des3 - түлхүүрийг DES шифр ашиглан шифрлэнэ
  • -out server.apache.key - таны шинэ түлхүүрийн нэр
  • 2048 он - хувийн түлхүүрийн урт, битээр (анхааруулгыг үзнэ үү)
• Энэхүү гэрчилгээ, нууц үгийг аюулгүй газар хадгална уу.

Алхам 2. Гэрчилгээнд гарын үсэг зурах хүсэлтийг үүсгэх

• openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256

• Сонголтуудыг тайлбарлав:

  • req - гарын үсэг зурах хүсэлтийг үүсгэдэг
  • -verbose - хүсэлтийг үүсгэж байх үед дэлгэрэнгүй мэдээллийг харуулна (заавал биш)
  • -Шинэ - шинэ хүсэлт үүсгэнэ
  • -key server.apache.key - Таны саяхан үүсгэсэн хувийн түлхүүр.
  • -out server.apache.csr - Таны үүсгэж буй гарын үсэг зурах хүсэлтийн файлын нэр
  • sha256 - Хүсэлтэд гарын үсэг зурахад ашигладаг шифрлэлтийн алгоритм

Алхам 3. Шинэ түлхүүрт гарын үсэг зурахын тулд CA сертификатаа ашиглана уу

• openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr

• Сонголтуудыг тайлбарлав:

  • ca - Сертификатын эрх мэдлийн модулийг ачаална
  • -out server.apache.pem - Файлын гарын үсэг зурсан сертификатын нэр
  • -keyfile server. CA.key - Хүсэлтэд гарын үсэг зурах CA сертификатын файлын нэр
  • -infiles server.apache.csr - Гэрчилгээнд гарын үсэг зурах хүсэлтийн файлын нэр

Алхам 4. Мэдээллийг аль болох бөглөнө үү

• Улсын нэр (2 үсгийн код) [AU]:

  АНУ

• Муж эсвэл мужийн нэр (бүтэн нэр) [Зарим муж]:

  CA

• Орон нутгийн нэр (жишээлбэл, хот) :

  Цахиурын хөндий

• Байгууллагын нэр (жишээ нь, компани) [Internet Widgits Pty Ltd]:

  wikiHow, Inc.

• Байгууллагын нэгжийн нэр (жишээ нь, хэсэг) :

• Нийтлэг нэр (жишээ нь, сервер FQDN эсвэл ТАНЫ нэр) :

• Имэйл хаяг :

Алхам 5. Хувийн түлхүүрийнхээ хуулбарыг өөр газар хадгална уу

Apache танаас нууц үг шаардахаас сэргийлэхийн тулд нууц үггүй хувийн түлхүүр үүсгэнэ үү.

• openssl rsa -in server.apache.key -out server.apache.unsecured.key

• Сонголтуудыг тайлбарлав:

  • rsa - RSA шифрлэлтийн програмыг ажиллуулдаг
  • -in server.apache.key - Таны хөрвүүлэхийг хүсч буй түлхүүр нэр.
  • -out server.apache.unsecured.key - Шинэ хамгаалалтгүй түлхүүрийн файлын нэр

Алхам 6. Үүссэн server.apache.pem файлыг 1 -р алхамд үүсгэсэн хувийн түлхүүрийн хамт apache2.conf файлыг тохируулахын тулд ашиглана уу

4 -ийн 3 -р хэсэг: Баталгаажуулалтын хэрэглэгчийн гэрчилгээ үүсгэх

Алхам 1. Apache -д зориулсан SSL сертификат үүсгэх _ дахь бүх алхмуудыг дагана уу

Алхам 2. Гарын үсэг зурсан гэрчилгээгээ PKCS12 болгон хөрвүүлнэ үү

openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12

4-р хэсгийн 4: S/MIME имэйлийн гэрчилгээ үүсгэх

Алхам 1. Хувийн түлхүүр үүсгэх

openssl genrsa -des3 -outable_email.key 2048

Алхам 2. Гэрчилгээнд гарын үсэг зурах хүсэлтийг үүсгэх

openssl req -new -key private_email.key -out private_email.csr

Алхам 3. Шинэ түлхүүрт гарын үсэг зурахын тулд CA сертификатаа ашиглана уу

openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr

Алхам 4. Сертификатыг PKCS12 болгон хөрвүүлэх

openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12

Алхам 5. Нийтийн түлхүүрийн гэрчилгээг түгээх зорилгоор үүсгэнэ үү

openssl pkcs12 -export -out public_cert.p12 -private_email.pem -clcerts -nokeys -name "WikiHow -ийн нийтийн түлхүүр"

Зөвлөмж

Та дараах тушаалыг өгч PEM түлхүүрүүдийн агуулгыг өөрчилж болно: openssl x509 -noout -text -in certificate.pem

Анхааруулга

• 1024 битийн түлхүүрүүдийг хуучирсан гэж үздэг. 2048 битийн түлхүүрүүд нь 2030 он хүртэл хэрэглэгчийн сертификатын хувьд аюулгүй гэж тооцогддог боловч root сертификатын хувьд хангалтгүй гэж үздэг. Гэрчилгээгээ үүсгэх явцад эдгээр эмзэг байдлыг анхаарч үзээрэй.
• Анхдагч байдлаар, ихэнх орчин үеийн хөтчүүд танай сайтад хэн нэгэн зочлох үед "Итгэлгүй сертификат" гэсэн анхааруулгыг харуулдаг. Эдгээр анхааруулгын үг хэллэгийн талаар маш их маргаан өрнөсөн, учир нь техникийн бус хэрэглэгчид хамгаалалтгүй байх магадлалтай. Хэрэглэгчид анхааруулга авахгүйн тулд томоохон эрх мэдлийг ашиглах нь зүйтэй.