Home-theater-designers
Τα πιστοποιητικά SSL/TLS είναι απαραίτητα για την ασφάλεια της εφαρμογής Ιστού ή του διακομιστή σας. Ενώ αρκετές αξιόπιστες αρχές έκδοσης πιστοποιητικών παρέχουν πιστοποιητικά SSL/TLS έναντι κόστους, είναι επίσης δυνατή η δημιουργία ενός αυτουπογεγραμμένου πιστοποιητικού χρησιμοποιώντας το OpenSSL. Παρόλο που τα αυτο-υπογεγραμμένα πιστοποιητικά δεν έχουν την έγκριση μιας αξιόπιστης αρχής, εξακολουθούν να μπορούν να κρυπτογραφούν την επισκεψιμότητά σας στον ιστό. Πώς μπορείτε λοιπόν να χρησιμοποιήσετε το OpenSSL για να δημιουργήσετε ένα αυτο-υπογεγραμμένο πιστοποιητικό για τον ιστότοπο ή τον διακομιστή σας;
ΚΑΤΑΣΚΕΥΗ ΒΙΝΤΕΟ ΤΗΣ ΗΜΕΡΑΣ ΚΥΛΙΣΤΕ ΓΙΑ ΝΑ ΣΥΝΕΧΙΣΕΤΕ ΜΕ ΠΕΡΙΕΧΟΜΕΝΟ
Πώς να εγκαταστήσετε το OpenSSL
Το OpenSSL είναι λογισμικό ανοιχτού κώδικα. Αλλά αν δεν έχετε υπόβαθρο προγραμματισμού και ανησυχείτε για τις διαδικασίες κατασκευής, έχει μια μικρή τεχνική ρύθμιση. Για να το αποφύγετε αυτό, μπορείτε να κατεβάσετε την πιο πρόσφατη έκδοση του κώδικα του OpenSSL, πλήρως μεταγλωττισμένη και έτοιμη για εγκατάσταση, από ιστότοπος slproweb .
τι σημαίνει κάρμα στο reddit
Εδώ, επιλέξτε την επέκταση MSI της τελευταίας έκδοσης OpenSSL που είναι κατάλληλη για το σύστημά σας.
Για παράδειγμα, θεωρήστε το OpenSSL στο D:\OpenSSL-Win64 . Μπορείτε να το αλλάξετε αυτό. Εάν η εγκατάσταση έχει ολοκληρωθεί, ανοίξτε το PowerShell ως διαχειριστής και μεταβείτε στον υποφάκελο με το όνομα αποθήκη στο φάκελο όπου εγκαταστήσατε το OpenSSL. Για να το κάνετε αυτό, χρησιμοποιήστε την ακόλουθη εντολή:
cd 'D:\OpenSSL-Win64\bin'
Έχετε πλέον πρόσβαση σε openssl.exe και μπορείς να το τρέξεις όπως θέλεις.
Δημιουργήστε το ιδιωτικό σας κλειδί με το OpenSSL
Θα χρειαστείτε ένα ιδιωτικό κλειδί για να δημιουργήσετε ένα αυτο-υπογεγραμμένο πιστοποιητικό. Στον ίδιο φάκελο bin, μπορείτε να δημιουργήσετε αυτό το ιδιωτικό κλειδί εισάγοντας την ακόλουθη εντολή στο PowerShell αφού το ανοίξετε ως διαχειριστής.
openssl.exe genrsa -des3 -out myPrivateKey.key 2048
Αυτή η εντολή θα δημιουργήσει ένα ιδιωτικό κλειδί RSA μήκους 2048 bit, κρυπτογραφημένο με 3DES μέσω OpenSSL. Το OpenSSL θα σας ζητήσει να εισαγάγετε έναν κωδικό πρόσβασης. Θα πρέπει να χρησιμοποιήσετε α ισχυρό και αξιομνημόνευτο κωδικό πρόσβασης . Αφού εισαγάγετε τον ίδιο κωδικό πρόσβασης δύο φορές, θα έχετε δημιουργήσει με επιτυχία το ιδιωτικό σας κλειδί RSA.
Μπορείτε να βρείτε το ιδιωτικό κλειδί RSA με το όνομα myPrivateKey.key .
Πώς να δημιουργήσετε ένα αρχείο CSR με το OpenSSL
Το ιδιωτικό κλειδί που δημιουργείτε δεν θα είναι αρκετό από μόνο του. Επιπλέον, χρειάζεστε ένα αρχείο CSR για να δημιουργήσετε ένα αυτο-υπογεγραμμένο πιστοποιητικό. Για να δημιουργήσετε αυτό το αρχείο CSR, πρέπει να εισαγάγετε μια νέα εντολή στο PowerShell:
openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr
Το OpenSSL θα ζητήσει επίσης τον κωδικό πρόσβασης που εισαγάγατε για τη δημιουργία του ιδιωτικού κλειδιού εδώ. Θα ζητήσει περαιτέρω τα νομικά και προσωπικά σας στοιχεία. Προσέξτε να εισάγετε σωστά αυτές τις πληροφορίες.
Επιπλέον, είναι δυνατό να κάνετε όλες τις μέχρι τώρα λειτουργίες με μία μόνο γραμμή εντολών. Εάν χρησιμοποιήσετε την παρακάτω εντολή, μπορείτε να δημιουργήσετε ταυτόχρονα και το ιδιωτικό κλειδί RSA και το αρχείο CSR:
openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Τώρα θα μπορείτε να δείτε το αρχείο με το όνομα myCertRequest.csr στον σχετικό κατάλογο. Αυτό το αρχείο CSR που δημιουργείτε περιέχει ορισμένες πληροφορίες σχετικά με:
- Το ίδρυμα που ζητά το πιστοποιητικό.
- Κοινό Όνομα (δηλαδή όνομα τομέα).
- Δημόσιο κλειδί (για σκοπούς κρυπτογράφησης).
Τα αρχεία ΕΚΕ που δημιουργείτε πρέπει να ελεγχθούν και να εγκριθούν από ορισμένες αρχές. Για αυτό, πρέπει να στείλετε το αρχείο CSR απευθείας στην αρχή έκδοσης πιστοποιητικών ή σε άλλους ενδιάμεσους οργανισμούς.
Αυτές οι αρχές και οι χρηματιστηριακές εταιρείες εξετάζουν εάν οι πληροφορίες που παρέχετε είναι σωστές, ανάλογα με τη φύση του πιστοποιητικού που θέλετε. Μπορεί επίσης να χρειαστεί να στείλετε ορισμένα έγγραφα εκτός σύνδεσης (φαξ, αλληλογραφία κ.λπ.) για να αποδείξετε εάν οι πληροφορίες είναι σωστές.
Προετοιμασία Πιστοποιητικού από Αρχή Πιστοποίησης
Όταν αποστέλλετε το αρχείο CSR που δημιουργήσατε σε μια έγκυρη αρχή έκδοσης πιστοποιητικών, η αρχή έκδοσης πιστοποιητικών υπογράφει το αρχείο και αποστέλλει το πιστοποιητικό στο ίδρυμα ή στο πρόσωπο που το αιτεί. Με αυτόν τον τρόπο, η αρχή πιστοποίησης (γνωστή και ως ΑΠ) δημιουργεί επίσης ένα αρχείο PEM από τα αρχεία CSR και RSA. Το αρχείο PEM είναι το τελευταίο αρχείο που απαιτείται για ένα αυτο-υπογεγραμμένο πιστοποιητικό. Αυτά τα στάδια διασφαλίζουν ότι Τα πιστοποιητικά SSL παραμένουν οργανωμένα, αξιόπιστα και ασφαλή .
Μπορείτε επίσης να δημιουργήσετε μόνοι σας αρχείο PEM με το OpenSSL. Ωστόσο, αυτό μπορεί να αποτελέσει πιθανό κίνδυνο για την ασφάλεια του πιστοποιητικού σας, επειδή η αυθεντικότητα ή η εγκυρότητα του τελευταίου δεν είναι ξεκάθαρη. Επίσης, το γεγονός ότι το πιστοποιητικό σας δεν είναι επαληθεύσιμο μπορεί να προκαλέσει τη μη λειτουργία του σε ορισμένες εφαρμογές και περιβάλλοντα. Έτσι, για αυτό το παράδειγμα αυτουπογεγραμμένου πιστοποιητικού, μπορούμε να χρησιμοποιήσουμε ένα ψεύτικο αρχείο PEM, αλλά, φυσικά, αυτό δεν είναι δυνατό σε πραγματική χρήση.
Προς το παρόν, φανταστείτε ένα αρχείο PEM με το όνομα myPemKey.pem προέρχεται από επίσημη αρχή έκδοσης πιστοποιητικών. Μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να δημιουργήσετε ένα αρχείο PEM για τον εαυτό σας:
openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem
Εάν είχατε ένα τέτοιο αρχείο, η εντολή που θα πρέπει να χρησιμοποιήσετε για το αυτο-υπογεγραμμένο πιστοποιητικό σας θα ήταν:
openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer
Αυτή η εντολή σημαίνει ότι το αρχείο CSR είναι υπογεγραμμένο με ένα ιδιωτικό κλειδί με όνομα myPemKey.pem , ισχύει για 365 ημέρες. Ως αποτέλεσμα, δημιουργείτε ένα αρχείο πιστοποιητικού με το όνομα mySelfSignedCert.cer .
Πληροφορίες Πιστοποιητικού Αυτουπογεγραμμένου
Μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή για να ελέγξετε τις πληροφορίες στο αυτο-υπογεγραμμένο πιστοποιητικό που δημιουργήσατε:
openssl.exe x509 -noout -text -in mySelfSignedCert.cer
Αυτό θα σας δείξει όλες τις πληροφορίες που περιέχονται στο πιστοποιητικό. Είναι δυνατό να δείτε πολλές πληροφορίες, όπως στοιχεία εταιρείας ή προσωπικές πληροφορίες και αλγόριθμους που χρησιμοποιούνται στο πιστοποιητικό.
Τι γίνεται αν τα αυτουπογεγραμμένα πιστοποιητικά δεν έχουν υπογραφεί από την αρχή πιστοποίησης;
Είναι απαραίτητο να ελέγξετε τα αυτουπογεγραμμένα πιστοποιητικά που δημιουργείτε και να επιβεβαιώσετε ότι είναι ασφαλή. Αυτό συνήθως το κάνει ένας τρίτος πάροχος πιστοποιητικών (δηλαδή μια ΑΠ). Εάν δεν έχετε πιστοποιητικό υπογεγραμμένο και εγκεκριμένο από αρχή έκδοσης πιστοποιητικών τρίτου μέρους και χρησιμοποιείτε αυτό το μη εγκεκριμένο πιστοποιητικό, θα αντιμετωπίσετε ορισμένα ζητήματα ασφαλείας.
Οι χάκερ μπορούν να χρησιμοποιήσουν το αυτο-υπογεγραμμένο πιστοποιητικό σας για να δημιουργήσουν ένα ψεύτικο αντίγραφο ενός ιστότοπου, για παράδειγμα. Αυτό επιτρέπει σε έναν εισβολέα να κλέψει τις πληροφορίες των χρηστών. Μπορούν επίσης να αποκτήσουν τα ονόματα χρήστη, τους κωδικούς πρόσβασης ή άλλες ευαίσθητες πληροφορίες των χρηστών σας.
Για να διασφαλιστεί η ασφάλεια των χρηστών, οι ιστότοποι και οι άλλες υπηρεσίες πρέπει συνήθως να χρησιμοποιούν πιστοποιητικά που είναι πραγματικά πιστοποιημένα από ΑΠ. Αυτό παρέχει μια διαβεβαίωση ότι τα δεδομένα του χρήστη είναι κρυπτογραφημένα και συνδέονται με τον σωστό διακομιστή.
Δημιουργία αυτουπογεγραμμένων πιστοποιητικών στα Windows
Όπως μπορείτε να δείτε, η δημιουργία ενός αυτουπογεγραμμένου πιστοποιητικού στα Windows με το OpenSSL είναι αρκετά απλή. Λάβετε όμως υπόψη ότι θα χρειαστείτε και έγκριση από τις αρχές πιστοποίησης.
Ωστόσο, η δημιουργία ενός τέτοιου πιστοποιητικού δείχνει ότι λαμβάνετε σοβαρά υπόψη την ασφάλεια των χρηστών, πράγμα που σημαίνει ότι θα εμπιστεύονται περισσότερο εσάς, τον ιστότοπό σας και τη συνολική επωνυμία σας.