SSL sertifikatini har qanday yirik sertifikat idoralaridan olish $ 100 va undan yuqori bo'lishi mumkin. O'zingizning sertifikatlashtirish idorasi bo'lib, noaniqlikni chetlab o'tishga va xarajatlarni o'chirishga qaror qilishingiz mumkin.
Qadamlar
4 -qismning 1 -qismi: CA sertifikatini yaratish
Qadam 1. Quyidagi buyruqni berish orqali CA shaxsiy kalitini yarating
-
openssl genrsa -des3 -out server. CA.key 2048
-
Variantlar tushuntirilgan
- openssl - dasturiy ta'minot nomi
- genrsa - yangi shaxsiy kalitni yaratadi
- -des3 - kalitni DES shifridan foydalanib shifrlash
- -out server. CA.key - yangi kalitingizning nomi
- 2048 yil - maxfiy kalitning bit, bit uzunligi (ogohlantirishlarga qarang)
- Ushbu sertifikat va parolni xavfsiz joyda saqlang.
Qadam 2. Sertifikatni imzolash uchun so'rov yarating
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Variantlar tushuntirildi:
- req - imzolash so'rovini yaratadi
- -verbose - so'rov yaratilganda uning tafsilotlarini ko'rsatadi (ixtiyoriy)
- -yangi - yangi so'rovni yaratadi
- -key server. CA.key - Siz yuqorida yaratgan maxfiy kalit.
- -out server. CA.csr - Siz yaratayotgan imzo so'rovining fayl nomi
- sha256 - so'rovlarni imzolash uchun ishlatiladigan shifrlash algoritmi (agar siz bu nima ekanligini bilmasangiz, buni o'zgartirmang. Siz buni faqat nima qilayotganingizni bilganingizda o'zgartirishingiz kerak)
Qadam 3. Ma'lumotni iloji boricha to'ldiring
-
Mamlakat nomi (2 harfli kod) [AU]:
BIZ
-
Shtat yoki viloyat nomi (to'liq nomi) [Ba'zi shtat]:
CA
-
Joy nomi (masalan, shahar) :
Silikon vodiysi
-
Tashkilot nomi (masalan, kompaniya) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Tashkiliy birlik nomi (masalan, bo'lim) :
-
Umumiy ism (masalan, server FQDN yoki sizning ismingiz) :
-
E-pochta manzili :
Qadam 4. O'z sertifikatingizga o'z qo'lingizni qo'ying:
-
openssl ca -extensions v3_ca -out server. CA -sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Variantlar tushuntirildi:
- ca - Certificate Authority modulini yuklaydi
- v3_ca kengaytmasi -v3_ca kengaytmasini yuklaydi, bu zamonaviy brauzerlarda ishlatilishi shart.
- -out server. CA -signed.crt -Yangi imzolangan kalitingizning nomi
- -keyfile server. CA.key - 1 -bosqichda siz yaratgan shaxsiy kalit
- -verbose - so'rov yaratilganda uning tafsilotlarini ko'rsatadi (ixtiyoriy)
- -SelfSign - so'rovga imzo qo'yish uchun xuddi shu kalitdan foydalanayotganingizni openssl -ga bildiradi
- -md sha256 - Xabarni ishlatish uchun shifrlash algoritmi. (Agar bu nima ekanligini bilmasangiz, buni o'zgartirmang. Buni nima qilayotganingizni bilsangizgina o'zgartirish kerak)
- -enddate 330630235959Z - Sertifikatning amal qilish muddati. YYMMDDHHMMSSZ belgisi bu erda Z GMT -da, ba'zan "Zulu" vaqti sifatida ham tanilgan.
- -infiles server. CA.csr - yuqoridagi qadamni siz imzolagan so'rov fayli.
Qadam 5. CA sertifikatingizni tekshiring
- openssl x509 -noout -text -inserver. CA.crt
-
Variantlar tushuntirildi:
- x509 - imzolangan sertifikatlarni tekshirish uchun x509 modulini yuklaydi.
- -noout - Kodlangan matnni chiqarmang
- -text - ma'lumotlarni ekranda chiqarish
- -in server. CA.crt - imzolangan sertifikatni yuklang
- Server. CA.crt fayli sizning veb -saytingizdan foydalanadigan yoki siz imzolamoqchi bo'lgan sertifikatlardan foydalanadigan har bir kishiga tarqatilishi mumkin.
4 -qismning 2 -qismi: Apache kabi xizmat uchun SSL sertifikatlarini yaratish
Qadam 1. Maxsus kalit yarating
-
openssl genrsa -des3 -out server.apache.key 2048
-
Variantlar tushuntirildi:
- openssl - dasturiy ta'minot nomi
- genrsa - yangi shaxsiy kalitni yaratadi
- -des3 - kalitni DES shifridan foydalanib shifrlash
- -out server.apache.key - yangi kalitingizning nomi
- 2048 yil - maxfiy kalitning bit, bit uzunligi (ogohlantirishlarga qarang)
- Ushbu sertifikat va parolni xavfsiz joyda saqlang.
Qadam 2. Sertifikatni imzolash uchun so'rov yarating
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Variantlar tushuntirildi:
- req - imzolash so'rovini yaratadi
- -verbose - so'rov yaratilganda uning tafsilotlarini ko'rsatadi (ixtiyoriy)
- -yangi - yangi so'rovni yaratadi
- -key server.apache.key - Siz yaratgan maxfiy kalit.
- -out server.apache.csr - Siz yaratayotgan imzo so'rovining fayl nomi
- sha256 - so'rovlarni imzolash uchun ishlatiladigan shifrlash algoritmi (agar bu nima ekanligini bilmasangiz, buni o'zgartirmang. Siz buni faqat nima qilayotganingizni bilganingizda o'zgartirishingiz kerak)
Qadam 3. Yangi kalitga imzo chekish uchun CA sertifikatidan foydalaning
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Variantlar tushuntirildi:
- ca - Certificate Authority modulini yuklaydi
- -out server.apache.pem - fayl imzolangan sertifikat nomi
- -keyfile server. CA.key - so'rovni imzolaydigan CA sertifikatining fayl nomi
- -infiles server.apache.csr - Sertifikat imzolash so'rovining fayl nomi
Qadam 4. Ma'lumotni iloji boricha to'ldiring:
-
Mamlakat nomi (2 harfli kod) [AU]:
BIZ
-
Shtat yoki viloyat nomi (to'liq ismi) [Ba'zi shtat]:
CA
-
Joy nomi (masalan, shahar) :
Silikon vodiysi
-
Tashkilot nomi (masalan, kompaniya) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Tashkiliy birlik nomi (masalan, bo'lim) :
-
Umumiy ism (masalan, server FQDN yoki sizning ismingiz) :
-
E-pochta manzili :
Qadam 5. Shaxsiy kalitingizning nusxasini boshqa joyda saqlang
Apache sizga parol so'rashiga yo'l qo'ymaslik uchun parolsiz shaxsiy kalit yarating:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Variantlar tushuntirildi:
- rsa - RSA shifrlash dasturini ishga tushiradi
- -in server.apache.key - Siz aylantirmoqchi bo'lgan kalit nomi.
- -out server.apache.unsecured.key - yangi himoyalanmagan kalitning fayl nomi
6 -qadam. Natijada paydo bo'lgan server.apache.pem faylini apache2.conf faylini sozlash uchun 1 -bosqichda yaratilgan maxfiy kalit bilan ishlating
4 -qismning 3 -qismi: Autentifikatsiya uchun foydalanuvchi sertifikatini yaratish
Qadam 1. Apache_ uchun SSL sertifikatlarini yaratish -dagi barcha amallarni bajaring
Qadam 2. O'z imzolangan sertifikatingizni PKCS12 ga o'zgartiring
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
4 dan 4 qism: S/MIME elektron pochta sertifikatlarini yaratish
Qadam 1. Maxsus kalit yarating
openssl genrsa -des3 -out private_email.key 2048
Qadam 2. Sertifikat imzolash so'rovini yarating
openssl req -new -key private_email.key -out private_email.csr
Qadam 3. Yangi kalitga imzo chekish uchun CA sertifikatidan foydalaning
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Qadam 4. Sertifikatni PKCS12 ga aylantiring
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Qadam 5. Tarqatish uchun ochiq kalit sertifikatini yarating
openssl pkcs12 -export -out public_cert.p12 -private_email.pem -clcerts -nokeys -name "WikiHow ochiq kaliti"
Maslahatlar
Siz quyidagi buyruqni berish orqali PEM kalitlari tarkibini o'zgartirishingiz mumkin: openssl x509 -noout -text -in certificate.pem
Ogohlantirishlar
- 1024 bitli kalitlar eskirgan deb hisoblanadi. 2048 bitli kalitlar 2030 yilgacha foydalanuvchi sertifikatlari uchun xavfsiz deb hisoblanadi, lekin ildiz sertifikatlari uchun etarli emas. Sertifikatlaringizni yaratishda ushbu kamchiliklarni ko'rib chiqing.
- Odatiy bo'lib, ko'pchilik zamonaviy brauzerlar sizning saytingizga kimdir tashrif buyurganida "Ishonchsiz sertifikat" ogohlantirishini ko'rsatadi. Bu ogohlantirishlarning so'zlari ustida ko'p bahslar bo'lgan, chunki texnik bo'lmagan foydalanuvchilarni qo'riqlash mumkin. Foydalanuvchilar ogohlantirishlarni olmasligi uchun ko'pincha katta vakolatxonadan foydalanish yaxshidir.