Kupata cheti cha SSL kutoka kwa Mamlaka yoyote ya Cheti (CAs) inaweza kukimbia $ 100 na zaidi. Ongeza kwenye mchanganyiko, hadithi za habari ambazo zinaonekana zinaonyesha kuwa sio CA zote zilizoanzishwa zinaweza kuaminika kwa 100% ya wakati na unaweza kuamua kukwepa kutokuwa na uhakika na kufuta gharama kwa kuwa Mamlaka yako ya Cheti.
Hatua
Sehemu ya 1 ya 4: Kuunda Cheti chako cha CA
Hatua ya 1. Zalisha ufunguo wa kibinafsi wa CA yako kwa kutoa amri ifuatayo
-
openssl genrsa -des3-nje server. CA.key 2048
-
Chaguzi zilielezea
- openssl - jina la programu
- genrsa - inaunda ufunguo mpya wa kibinafsi
- -des3 - ficha funguo kwa kutumia kipengee cha DES
- -ya seva. CA.key - jina la ufunguo wako mpya
- 2048 - urefu, kwa vipande, vya ufunguo wa kibinafsi (Tafadhali angalia maonyo)
- Hifadhi cheti hiki na nywila mahali salama.
Hatua ya 2. Unda ombi la kutia saini cheti
-
openssl req -verbose -seva -ya-seva mpya. CA.key -out server. CA.csr -sha256
-
Chaguzi zilielezea:
- req - Inaunda Ombi la Kutia Saini
- -verbose - inaonyesha maelezo juu ya ombi kama linavyoundwa (hiari)
- -new - inaunda ombi jipya
- -key server. CA.key - Kitufe cha faragha ambacho umetengeneza hapo juu.
- -sasa. CA.csr - Jina la faili ya ombi la kutia saini unalounda
- sha256 - Usimbuaji fiche wa kutumia kwa kusaini maombi (Ikiwa haujui hii ni nini, usibadilishe hii. Unapaswa kubadilisha hii tu ikiwa unajua unachofanya)
Hatua ya 3. Jaza habari iwezekanavyo
-
Jina la Nchi (nambari 2 ya herufi) [AU]:
Marekani
-
Jina la Jimbo au Mkoa (jina kamili) [Baadhi ya Jimbo]:
CA
-
Jina la Mahali (k.m. jiji) :
Bonde la Silicon
-
Jina la Shirika (k.m., kampuni) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Jina la Kitengo cha Shirika (kwa mfano, sehemu) :
-
Jina la Kawaida (kwa mfano, seva FQDN au jina lako) :
-
Barua pepe :
Hatua ya 4. Jisajili cheti chako mwenyewe:
-
openssl ca -extensions v3_ca -out server. CA-signed.crt -fungua seva server. CA.key -verbose -sign -md sha256 -toa tarehe 330630235959Z -infiles server. CA.csr
-
Chaguzi zilielezea:
- ca - Inapakia moduli ya Mamlaka ya Cheti
- -kuongeza v3_ca - Inapakia ugani wa v3_ca, lazima iwe nayo kwa matumizi kwenye vivinjari vya kisasa
- -sasa. CA-sign.crt - Jina la ufunguo wako mpya uliosainiwa
- Kitufe cha faili -kifunguo cha A. A. - Kitufe cha faragha ulichounda katika hatua ya 1
- -verbose - inaonyesha maelezo juu ya ombi kama linavyoundwa (hiari)
- -jisajili - Anaambia kufungua kwa simu kuwa unatumia kitufe sawa kusaini ombi
- -md sha256 - Usimbuaji fiche wa kutumia kwa ujumbe. (Ikiwa haujui hii ni nini, usibadilishe hii. Lazima ubadilishe hii ikiwa unajua unachofanya)
- -tarehe 330630235959Z - Tarehe ya mwisho ya cheti. Nukuu ni YYMMDDHHMMSSZ ambapo Z iko katika GMT, wakati mwingine inajulikana kama wakati wa "Zulu".
- seva ya faili. CA.csr - faili ya ombi la kusaini ambayo uliunda hatua hapo juu.
Hatua ya 5. Kagua cheti chako cha CA
- openssl x509 -sijui-maandishi-katika seva. CA.crt
-
Chaguzi zilielezea:
- x509 - Inapakia moduli ya x509 kukagua vyeti vilivyotiwa saini.
- -sio - Usitoe maandishi yaliyosimbwa
- -andiko-toa habari kwenye skrini
- -katika seva. CA.crt - Pakia cheti kilichosainiwa
- Faili ya server. CA.crt inaweza kusambazwa kwa mtu yeyote ambaye atatumia wavuti yako au kutumia vyeti unayopanga kutia saini.
Sehemu ya 2 ya 4: Kuunda Vyeti vya SSL vya Huduma, kama vile Apache
Hatua ya 1. Unda ufunguo wa kibinafsi
-
openssl genrsa -des3-nje server.apache.key 2048
-
Chaguzi zilielezea:
- openssl - jina la programu
- genrsa - inaunda ufunguo mpya wa kibinafsi
- -des3 - ficha funguo kwa kutumia kipengee cha DES
- -s server.apache.key - jina la ufunguo wako mpya
- 2048 - urefu, kwa vipande, vya ufunguo wa kibinafsi (Tafadhali angalia maonyo)
- Hifadhi cheti hiki na nywila mahali salama.
Hatua ya 2. Unda ombi la kutia saini cheti
-
openssl req -verbose-seva mpya ya -key.apache.key -out server.apache.csr -sha256
-
Chaguzi zilielezea:
- req - Inaunda Ombi la Kutia Saini
- -verbose - inaonyesha maelezo juu ya ombi kama linavyoundwa (hiari)
- -new - inaunda ombi jipya
- -key server.apache.key - Kitufe cha faragha ambacho umetengeneza hapo juu.
- -out server.apache.csr - Jina la faili ya ombi la kutia saini unalounda
- sha256 - Usimbuaji fiche wa kutumia kwa kusaini maombi (Ikiwa haujui hii ni nini, usibadilishe hii. Unapaswa kubadilisha hii tu ikiwa unajua unachofanya)
Hatua ya 3. Tumia cheti chako cha CA kutia saini ufunguo mpya
-
opensl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Chaguzi zilielezea:
- ca - Inapakia moduli ya Mamlaka ya Cheti
- -s server.apache.pem - Jina la faili cheti kilichosainiwa
- Kitufe cha faili -ki. CA.key - Jina la faili ya cheti cha CA ambacho kitasaini ombi
- -files server.apache.csr - Jina la faili ya Ombi la Kutia Saini Cheti
Hatua ya 4. Jaza habari iwezekanavyo:
-
Jina la Nchi (nambari 2 ya herufi) [AU]:
Marekani
-
Jina la Jimbo au Mkoa (jina kamili) [Baadhi ya Jimbo]:
CA
-
Jina la Mahali (k.m. jiji) :
Bonde la Silicon
-
Jina la Shirika (k.m., kampuni) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Jina la Kitengo cha Shirika (kwa mfano, sehemu) :
-
Jina la Kawaida (kwa mfano, seva FQDN au jina lako) :
-
Barua pepe :
Hatua ya 5. Hifadhi nakala ya ufunguo wako wa kibinafsi mahali pengine
Unda ufunguo wa faragha bila nywila ili kuzuia Apache kukuhimiza nywila:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Chaguzi zilielezea:
- rsa - Inatumia mpango wa usimbaji fiche wa RSA
- -katika seva.apache.key - Jina muhimu ambalo unataka kubadilisha.
- -s server.apache.unsecured.key - Jina la faili ya kitufe kipya kisicho salama
Hatua ya 6. Tumia faili ya server.apache.pem inayotokana na kitufe cha faragha ulichotengeneza katika hatua ya 1 kusanidi faili yako ya apache2.conf
Sehemu ya 3 ya 4: Kuunda Cheti cha Mtumiaji cha Uthibitishaji
Hatua ya 1. Fuata hatua zote katika _Kuunda Vyeti vya SSL vya Apache_
Hatua ya 2. Badilisha cheti chako kilichotiwa saini kuwa PKCS12
openssl pkcs12-usafirishaji -katika user_cert.pem -kiwishi user_private_key.pem -out user_cert.p12
Sehemu ya 4 ya 4: Kuunda Vyeti vya Barua pepe vya S / MIME
Hatua ya 1. Unda ufunguo wa kibinafsi
2048. Mchoro wa 2048
Hatua ya 2. Unda Ombi la Kutia Saini Cheti
openssl req -key mpya -ya siri_email.key-out private_email.csr
Hatua ya 3. Tumia cheti chako cha CA kutia saini ufunguo mpya
openssl ca-out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Hatua ya 4. Badilisha cheti kuwa PKCS12
openssl pkcs12-usafirishaji -katika barua_ya faragha.crt -funguo faragha_mail.key - nje ya barua pepe ya kibinafsi.p12
Hatua ya 5. Unda cheti cha Ufunguo wa Umma kwa usambazaji
openssl pkcs12-usafirishaji-nje ya umma_cert.p12 -katika barua_ya faragha.pem -clcerts -nokeys -name "WikiHow's Public Key"
Vidokezo
Unaweza kutofautisha yaliyomo kwenye funguo za PEM kwa kutoa amri ifuatayo:
Maonyo
- Funguo 10-bit huchukuliwa kuwa ya kizamani. Funguo 20-bit huchukuliwa kuwa salama kwa vyeti vya watumiaji hadi 2030, lakini inachukuliwa kuwa haitoshi kwa vyeti vya mizizi. Fikiria udhaifu huu unapounda vyeti vyako.
- Kwa chaguo-msingi, vivinjari vingi vya kisasa vitaonyesha onyo la "Cheti kisichoaminika" wakati mtu anatembelea tovuti yako. Kumekuwa na mjadala mwingi juu ya maneno ya maonyo haya, kwani watumiaji wasio wa kiufundi wanaweza kushikwa walinzi. Mara nyingi ni bora kutumia mamlaka kuu ili watumiaji wasipate onyo.