Mendapatkan sijil SSL dari mana-mana Pihak Berkuasa Sijil utama (CA) boleh mencapai $ 100 ke atas. Tambahkan ke campuran, berita yang nampaknya menunjukkan bahawa tidak semua CA yang ditubuhkan dapat dipercayai 100% sepanjang masa dan anda mungkin memutuskan untuk mengelakkan ketidakpastian dan menghapus kos dengan menjadi Pihak Berkuasa Sijil anda sendiri.
Langkah-langkah
Bahagian 1 dari 4: Membuat Sijil CA anda
Langkah 1. Hasilkan kunci peribadi CA anda dengan mengeluarkan arahan berikut
-
openssl genrsa -des3 -out server. CA.key 2048
-
Pilihan dijelaskan
- openssl - nama perisian
- genrsa - mencipta kunci peribadi baru
- -des3 - menyulitkan kunci menggunakan DES cipher
- -out server. CA.key - nama kunci baru anda
- 2048 - panjang, dalam bit, kunci peribadi (Sila lihat amaran)
- Simpan sijil dan kata laluan ini di tempat yang selamat.
Langkah 2. Buat permintaan menandatangani sijil
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Pilihan dijelaskan:
- req - Membuat Permintaan Menandatangani
- -verbose - menunjukkan kepada anda perincian mengenai permintaan tersebut semasa dibuat (pilihan)
- -baru - membuat permintaan baru
- -key server. CA.key - Kunci peribadi yang baru anda buat di atas.
- -out server. CA.csr - Nama fail permintaan tandatangan yang anda buat
- sha256 - Algoritma enkripsi yang akan digunakan untuk permintaan menandatangani (Sekiranya anda tidak tahu apa ini, jangan ubah ini. Anda hanya perlu mengubahnya jika anda tahu apa yang anda lakukan)
Langkah 3. Isi maklumat sebanyak mungkin
-
Nama Negara (kod 2 huruf) [AU]:
KAMI
-
Nama Negeri atau Wilayah (nama penuh) [Beberapa Negeri]:
CA
-
Nama Lokasi (mis., Bandar) :
Lembah Silikon
-
Nama Organisasi (mis. Syarikat) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Nama Unit Organisasi (contoh, bahagian) :
-
Nama Biasa (mis., FQDN pelayan atau nama ANDA) :
-
Alamat emel :
Langkah 4. Tandatangan sendiri sijil anda:
-
openssl ca -extensions v3_ca -out server. CA-sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Pilihan dijelaskan:
- ca - Memuat modul Penguasa Sijil
- -extension v3_ca - Memuatkan pelanjutan v3_ca, yang mesti dimiliki pada penyemak imbas moden
- -out server. CA-sign.crt - Nama kunci baru anda yang ditandatangani
- -keyfile server. CA.key - Kunci peribadi yang anda buat pada langkah 1
- -verbose - menunjukkan kepada anda perincian mengenai permintaan tersebut semasa dibuat (pilihan)
- -selfsign - Memberitahu openssl bahawa anda menggunakan kunci yang sama untuk menandatangani permintaan
- -md sha256 - Algoritma penyulitan yang akan digunakan untuk mesej. (Sekiranya anda tidak tahu apa ini, jangan ubah ini. Anda hanya perlu mengubahnya jika anda tahu apa yang anda lakukan)
- -tarikh akhir 330630235959Z - Tarikh akhir sijil. Notasi adalah YYMMDDHHMMSSZ di mana Z berada di GMT, kadang-kadang dikenali sebagai waktu "Zulu".
- -infiles server. CA.csr - fail permintaan tandatangan yang anda buat langkah di atas.
Langkah 5. Periksa sijil CA anda
- openssl x509 -noout -text -in server. CA.crt
-
Pilihan dijelaskan:
- x509 - Memuat modul x509 untuk memeriksa sijil yang ditandatangani.
- -tidak - Jangan mengeluarkan teks yang dikodkan
- -teks - mengeluarkan maklumat di skrin
- -in server. CA.crt - Muatkan sijil yang ditandatangani
- Fail server. CA.crt boleh diedarkan kepada sesiapa sahaja yang akan menggunakan laman web anda atau menggunakan sijil yang anda rancangkan untuk ditandatangani.
Bahagian 2 dari 4: Membuat Sijil SSL untuk Perkhidmatan, seperti Apache
Langkah 1. Buat kunci peribadi
-
openssl genrsa -des3 -out server.apache.key 2048
-
Pilihan dijelaskan:
- openssl - nama perisian
- genrsa - mencipta kunci peribadi baru
- -des3 - mengenkripsi kunci menggunakan DES cipher
- -out server.apache.key - nama kunci baru anda
- 2048 - panjang, dalam bit, kunci peribadi (Sila lihat amaran)
- Simpan sijil dan kata laluan ini di tempat yang selamat.
Langkah 2. Buat permintaan menandatangani sijil
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Pilihan dijelaskan:
- req - Membuat Permintaan Menandatangani
- -verbose - menunjukkan kepada anda perincian mengenai permintaan tersebut semasa dibuat (pilihan)
- -baru - membuat permintaan baru
- -key server.apache.key - Kunci peribadi yang baru anda buat di atas.
- -out server.apache.csr - Nama fail permintaan tandatangan yang anda buat
- sha256 - Algoritma enkripsi yang akan digunakan untuk permintaan menandatangani (Sekiranya anda tidak tahu apa ini, jangan ubah ini. Anda hanya perlu mengubahnya jika anda tahu apa yang anda lakukan)
Langkah 3. Gunakan sijil CA anda untuk menandatangani kunci baru
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Pilihan dijelaskan:
- ca - Memuat modul Sijil Berkuasa
- -out server.apache.pem - Nama fail sijil yang ditandatangani
- -keyfile server. CA.key - Nama fail sijil CA yang akan menandatangani permintaan
- -infiles server.apache.csr - Nama fail Permintaan Tandatangan Sijil
Langkah 4. Isi maklumat sebanyak mungkin:
-
Nama Negara (kod 2 huruf) [AU]:
KAMI
-
Nama Negeri atau Wilayah (nama penuh) [Beberapa Negeri]:
CA
-
Nama Lokasi (mis., Bandar) :
Lembah Silikon
-
Nama Organisasi (mis. Syarikat) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Nama Unit Organisasi (contoh, bahagian) :
-
Nama Biasa (mis., FQDN pelayan atau nama ANDA) :
-
Alamat emel :
Langkah 5. Simpan salinan kunci peribadi anda di lokasi lain
Buat kunci peribadi tanpa kata laluan untuk mengelakkan Apache meminta anda mendapatkan kata laluan:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Pilihan dijelaskan:
- rsa - Menjalankan program penyulitan RSA
- -in server.apache.key - Nama utama yang anda mahu tukar.
- -out server.apache.unsecured.key - Nama fail kunci tidak selamat baru
Langkah 6. Gunakan fail server.apache.pem yang dihasilkan bersama dengan kunci peribadi yang anda hasilkan pada langkah 1 untuk mengkonfigurasi fail apache2.conf anda
Bahagian 3 dari 4: Membuat Sijil Pengguna untuk Pengesahan
Langkah 1. Ikuti semua langkah dalam _Membuat Sijil SSL untuk Apache_
Langkah 2. Tukarkan sijil yang ditandatangani anda ke PKCS12
openssl pkcs12 -eksport -dalam user_cert.pem -inkey user_private_key.pem -out user_cert.p12
Bahagian 4 dari 4: Membuat Sijil E-mel S / MIME
Langkah 1. Buat kunci peribadi
openssl genrsa -des3 -out private_email.key 2048
Langkah 2. Buat Permintaan Menandatangani Sijil
openssl req -new -key private_email.key -out private_email.csr
Langkah 3. Gunakan sijil CA anda untuk menandatangani kunci baru
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Langkah 4. Tukarkan sijil ke PKCS12
openssl pkcs12 -eksport -dalam private_email.crt -inkey private_email.key -out private_email.p12
Langkah 5. Buat sijil Kunci Awam untuk diedarkan
openssl pkcs12 -eksport -out public_cert.p12 -dalam private_email.pem -clcerts -nokeys -name "WikiHow's Public Key"
Petua
Anda boleh mengubah isi kunci PEM dengan mengeluarkan arahan berikut: openssl x509 -noout -text -in Certificate.pem
Amaran
- Kekunci 1024-bit dianggap usang. Kekunci 2048-bit dianggap selamat untuk sijil pengguna sehingga 2030, tetapi dianggap tidak mencukupi untuk sijil root. Pertimbangkan kelemahan ini semasa anda membuat sijil anda.
- Secara lalai, kebanyakan penyemak imbas moden akan menunjukkan amaran "Sijil tidak dipercayai" semasa seseorang mengunjungi laman web anda. Terdapat banyak perdebatan mengenai kata-kata amaran ini, kerana pengguna bukan teknikal dapat dilindungi. Selalunya lebih baik menggunakan pihak berkuasa utama supaya pengguna tidak mendapat amaran.