Qanday qilib o'zingizning sertifikat vakolatxonangiz bo'lishi mumkin

Har qanday yirik Sertifikat Vakolatxonasidan (CA) SSL sertifikatini olish $ 100 va undan yuqori narxga ega bo'lishi mumkin. Bundan tashqari, barcha o'rnatilgan CA-larga hamma vaqt ham 100% ishonib bo'lmasligini ko'rsatadigan yangiliklarni aralashtirishga qo'shishingiz mumkin va siz o'zingizning Sertifikatlar markazi sifatida o'zingizning ishonchingiz bilan noaniqlikni engib, narxni yo'q qilishga qaror qilishingiz mumkin.

Sizning CA sertifikatingizni yaratish

Sizning CA sertifikatingizni yaratish
Quyidagi buyruqni chiqarish orqali o'zingizning CA kalitingizni yarating.
  • openssl genrsa -des3 -out server.CA.key 2048
  • Tushuntirilgan variantlar ochiladi - dasturiy ta'minot nomi Genrsa - yangi shaxsiy -des3 kalitini yaratadi - DES shifr-server yordamida kalitni shifrlaydi.CA.key - sizning yangi kalitingiz nomi 2048 - uzunligi, bit bilan shaxsiy kalit (Iltimos, ogohlantirishlarni ko'ring)
  • Ushbu sertifikat va parolni xavfsiz joyda saqlang.
Sizning CA sertifikatingizni yaratish
Sertifikatga imzo so'rovini yarating.
  • ochadi req -verbose -yangi -key server.CA.key -out-server.CA.csr -sha256
  • Tushuntirilgan variantlar: req - Imzo so'rovini yaratadi -bozlik - bu so'rov haqida ma'lumot beradi, chunki u yaratilmoqda (ixtiyoriy) - yangi - yangi so'rovni yaratadi -key server.CA.key - Siz yuqorida yaratgan shaxsiy kalit. -out server.CA.csr - Siz yaratayotgan imzolash so'rovining fayl nomi - sha256 - so'rovlarni imzolashda foydalaniladigan shifrlash algoritmi (Agar siz bu nima ekanligini bilmasangiz, uni o'zgartirmang. Faqat buni o'zgartirishingiz kerak. nima qilayotganingizni bilasiz)
Sizning CA sertifikatingizni yaratish
Iloji boricha ma'lumotni to'ldiring.
  • Mamlakat nomi (2 harf kodi) [AU]: AQSh
  • Shtat yoki viloyat nomi (to'liq nomi) [Ayrim shtat]: CA Mahalliy nomi (masalan, shahar) []: Silikon vodiysi tashkilotining nomi (masalan, kompaniya) [Internet Widgits Pty Ltd]: tumomentogeek.com, Inc. Tashkilotning nomi (masalan. , bo'lim) []: Umumiy ism (masalan, FQDN serveri yoki SIZNING ismingiz) []: wikiHow.com uchun CA sertifikati.
  • Elektron pochta manzili []: [email protected]
Sizning CA sertifikatingizni yaratish
O'zingizning sertifikatingizni imzolang:
  • ochadi ca-tekstentsiyalar v3_ca -outer.CA-imzolangan.crt -keyfile server.CA.key -verbose -selfsign -md sha256 -yana 330630235959Z -fayl server.CA.csr
  • Variantlar quyidagicha izohlanadi: ca - Sertifikat Avtorizatsiya modulini yuklaydi -Sektsiya v3_ca - Zamonaviy brauzerlarda foydalanish uchun zarur bo'lgan v3_ca kengaytmasini yuklaydi -out server.CA-sign.crt - Sizning yangi imzolangan kalit -fayl serveringizning nomi. CA.key - 1-bosqichda yaratgan shaxsiy kalit - bu so'rov haqida ma'lumot beradi (ixtiyoriy) -signign - so'rovni imzolash uchun xuddi shu kalitdan foydalanayotganingizni aytadi -md sha256 - The xabar uchun ishlatiladigan shifrlash algoritmi. (Agar bu nima ekanligini bilmasangiz, buni o'zgartirmang. Faqat nima qilayotganingizni bilsangiz, uni o'zgartirishingiz kerak) -yana 330630235959Z - sertifikatning tugash sanasi. Notasi YYMMDDHHMMSSZ, bu erda GMT GMT-da, ba'zan "Zulu" vaqti deb ham nomlanadi. -infiles server.CA.csr - yuqoridagi bosqichni yaratgan imzo talabnomasi fayli.
Sizning CA sertifikatingizni yaratish
CA sertifikatingizni tekshiring.
  • ochadi x509 -noout -text -in server.CA.crt
  • Variantlar tushuntirildi: x509 - imzolangan sertifikatlarni tekshirish uchun x509 modulini yuklaydi. -noout - kodlangan matnni chiqarmang-tekst - ma'lumotni ekranda chiqaring-server.CA.crt - imzolangan sertifikatni yuklang
  • Server.CA.crt fayli sizning veb-saytingizni ishlatadigan yoki imzolashni rejalashtirgan sertifikatlardan foydalanadigan har kimga tarqatilishi mumkin.

Apache kabi xizmat uchun SSL sertifikatlarini yaratish

Apache kabi xizmat uchun SSL sertifikatlarini yaratish
Shaxsiy kalit yarating.
  • ochadi genrsa -des3 -out-server.apache.key 2048
  • Variantlar quyidagicha izohlanadi: ochiladi - dasturiy ta'minotning nomi Genrsa - yangi xususiy -des3 kalitini yaratadi - DES shifri yordamida kalitni shifrlaydi -out server.apache.key - sizning yangi kalitingiz nomi - 2048 uzunligi, bit bilan, shaxsiy kalitni oching (Ogohlantirishlarni ko'ring)
  • Ushbu sertifikat va parolni xavfsiz joyda saqlang.
Apache kabi xizmat uchun SSL sertifikatlarini yaratish
Sertifikatga imzo so'rovini yarating.
  • ochadi req -verbose -yangi -key server.apache.key -out server.apache.csr -sha256
  • Izohlar quyidagicha: req - Imzo so'rovini yaratadi -bozlik - bu so'rov haqida ma'lumotni yaratadi (batafsil) - yangi - yangi so'rovni yaratadi -key server.apache.key - Siz yuqorida yaratgan shaxsiy kalit. -out server.apache.csr - Siz yaratayotgan imzolash so'rovining fayl nomi - sha256 - so'rovlarni imzolashda foydalaniladigan shifrlash algoritmi (Agar siz bu nima ekanligini bilmasangiz, uni o'zgartirmang. Buni faqat agar shunday bo'lsa o'zgartirishingiz kerak. nima qilayotganingizni bilasiz)
Apache kabi xizmat uchun SSL sertifikatlarini yaratish
Yangi kalitni imzolash uchun CA sertifikatidan foydalaning.
  • server.apache.pem -keyfile server.CA.key -infiles server.apache.csr-ni ochadi
  • Variantlar quyidagicha izohlanadi: ca - Sertifikat Authority moduli yuklanadi - server.apache.pem - imzolangan sertifikat -keyfile server.CA.key - fayl sertifikati so'rovini imzolaydigan CA sertifikatining fayl nomi. apache.csr - Sertifikatni imzolash so'rovining fayl nomi
Apache kabi xizmat uchun SSL sertifikatlarini yaratish
Iloji boricha ma'lumotni to'ldiring:
  • Mamlakat nomi (2 harf kodi) [AU]: AQSh
  • Shtat yoki viloyat nomi (to'liq nomi) [Ayrim shtat]: CA Mahalliy nomi (masalan, shahar) []: Silikon vodiysi tashkilotining nomi (masalan, kompaniya) [Internet Widgits Pty Ltd]: tumomentogeek.com, Inc. Tashkilotning nomi (masalan. , bo'lim) []: Umumiy ism (masalan, FQDN serveri yoki SIZNING ismingiz) []: wikiHow.com uchun Apache SSL sertifikati.
  • Elektron pochta manzili []: [email protected]
Apache kabi xizmat uchun SSL sertifikatlarini yaratish
Shaxsiy kalitingiz nusxasini boshqa joyda saqlang. Parachasiz parolsiz shaxsiy kalitni yarating, Apache sizni parolni talab qilmasligi uchun:
  • ochadi rsa -in server.apache.key -out server.apache.unsecured.key
  • Variantlar tushuntirildi: rsa - RSA shifrlash dasturini ishlaydi - server.apache.key - Siz o'zgartirmoqchi bo'lgan asosiy nom. -out server.apache.unsecured.key - Yangi ta'minlanmagan kalitning fayl nomi
Apache kabi xizmat uchun SSL sertifikatlarini yaratish
Apache2.conf faylingizni sozlash uchun 1-bosqichda hosil bo'lgan shaxsiy kalit bilan birga kelgan server.apache.pem faylidan foydalaning.

Haqiqiylikni tekshirish uchun foydalanuvchi sertifikatini yaratish

Haqiqiylikni tekshirish uchun foydalanuvchi sertifikatini yaratish
__ Apache_ uchun SSL sertifikatlarini yaratish bo'yicha barcha amallarni bajaring.
Haqiqiylikni tekshirish uchun foydalanuvchi sertifikatini yaratish
Imzolangan sertifikatni PKCS12-ga o'zgartiring.
  • ochadi pkcs12 -export-foydalanuvchi_cert.pem -inkey user_private_key.pem -out user_cert.p12

S / MIME elektron pochta sertifikatlarini yaratish

S / MIME elektron pochta sertifikatlarini yaratish
Shaxsiy kalit yarating.
  • openssl genrsa -des3 -out xususiy_email.key 2048
S / MIME elektron pochta sertifikatlarini yaratish
Sertifikatni imzolash uchun so'rov yarating.
  • ochadi req-yangi -key-shaxsiy_email.key -out private_email.csr
S / MIME elektron pochta sertifikatlarini yaratish
Yangi kalitni imzolash uchun CA sertifikatidan foydalaning.
  • shaxsiy_email.pem -keyfile server.CA.key -infiles private_email.csr-ni ochadi
S / MIME elektron pochta sertifikatlarini yaratish
Sertifikatni PKCS12-ga o'zgartiring.
  • ochadi pkcs12 -port-xususiy_email.crt -inkey private_email.key -out private_email.p12
S / MIME elektron pochta sertifikatlarini yaratish
Tarqatish uchun ochiq kalit sertifikatini yarating.
  • ochadi pkcs12 -port -out public_cert.p12-private_email.pem -clcerts -nokeys -name "WikiHow-ning ochiq kaliti"
Buni Windows-da qanday bajaraman?
Windows uchun ochiq SSL kerak. Internetda bunday ikkitomonlama va o'rnatuvchilarni taklif qiladigan turli xil loyihalar mavjud. Iltimos, Google-ga murojaat qiling!
Men o'z CA-ni o'rnatganimdan so'ng, qanday qilib uni brauzerlar, Java va boshqa dasturlarga qo'shib qo'yaman, shunda ular xatolarga yo'l qo'ymaslikning o'rniga men CA sertifikatim bilan imzolagan har qanday server yoki dastur sertifikatlariga ishonadilar?
Siz brauzer sotuvchilari bilan yig'ilib, qurilmangizga sertifikatni o'rnatishingiz kerak. Sotuvchiga qarab, bu katta miqdordagi pulni talab qilishi mumkin.
Siz PEM tugmachalari tarkibini quyidagi buyruqni berish orqali o'zgartirishingiz mumkin.
1024 bitli tugmachalar eskirgan deb hisoblanadi. 2048 bitli kalitlar 2030 yilgacha foydalanuvchi sertifikatlari uchun xavfsiz deb hisoblanadi, ammo ildiz sertifikatlari uchun etarli emas. O'zingizning sertifikatlaringizni yaratishda ushbu zaifliklarni ko'rib chiqing.
Odatiy bo'lib, zamonaviy brauzerlarning aksariyati kimdir sizning saytingizga kirganda "Ishonchsiz sertifikat" ogohlantirishini namoyish qiladi. Ushbu ogohlantirishlarning mazmuni bo'yicha ko'p bahs-munozaralar bo'ldi, chunki texnik bo'lmagan foydalanuvchilarni ehtiyotkorlik bilan ushlash mumkin. Odatda foydalanuvchilar foydalanuvchilarni ogohlantirmasliklari uchun katta vakolatdan foydalanish yaxshidir.
tumomentogeek.com © 2020