Arată-le vizitatorilor site-ului tău că iei în serios securitatea lor, creându-ți propriul certificat SSL utilizând OpenSSL.

Certificatele SSL/TLS sunt esențiale pentru securizarea aplicației sau serverului dvs. web. În timp ce mai multe autorități de certificare de încredere oferă certificate SSL/TLS contra cost, este, de asemenea, posibil să se genereze un certificat autosemnat folosind OpenSSL. Chiar dacă certificatele autosemnate nu au aprobarea unei autorități de încredere, ele pot încă cripta traficul dvs. web. Deci, cum puteți utiliza OpenSSL pentru a genera un certificat autosemnat pentru site-ul sau serverul dvs.?

Cum se instalează OpenSSL

OpenSSL este un software open-source. Dar dacă nu ai un fundal în programare și ești îngrijorat de procesele de construire, are o configurație puțin tehnică. Pentru a evita acest lucru, puteți descărca cea mai recentă versiune a codului OpenSSL, complet compilat și gata de instalare, de la site-ul slproweb.

Aici, selectați extensia MSI a celei mai recente versiuni OpenSSL potrivite pentru sistemul dvs.

instagram viewer

Ca exemplu, luați în considerare OpenSSL la D:\OpenSSL-Win64. Puteți schimba acest lucru. Dacă instalarea este completă, deschide PowerShell ca administrator și navigați la subdosarul numit cos în folderul în care ați instalat OpenSSL. Pentru a face acest lucru, utilizați următoarea comandă:

CD„D:\OpenSSL-Win64\bin”

Acum aveți acces la openssl.exe și îl puteți rula cum doriți.

Generați-vă cheia privată cu OpenSSL

Veți avea nevoie de o cheie privată pentru a crea un certificat autosemnat. În același folder bin, puteți crea această cheie privată introducând următoarea comandă în PowerShell după ce ați deschis-o ca administrator.

openssl.exegenrsa-des3- afarămyPrivateKey.cheie 2048

Această comandă va genera o cheie privată RSA de 2048 de biți, criptată 3DES, prin OpenSSL. OpenSSL vă va cere să introduceți o parolă. Ar trebui să utilizați a parolă puternică și memorabilă. După ce ați introdus aceeași parolă de două ori, veți fi generat cu succes cheia privată RSA.

Puteți găsi cheia dvs. RSA privată cu numele myPrivateKey.key.

Cum se creează un fișier CSR cu OpenSSL

Cheia privată pe care o creați nu va fi suficientă singură. În plus, aveți nevoie de un fișier CSR pentru a face un certificat autosemnat. Pentru a crea acest fișier CSR, trebuie să introduceți o nouă comandă în PowerShell:

openssl.exesolicitat-nou-cheiemyPrivateKey.cheie- afarămyCertRequest.csr

OpenSSL va cere, de asemenea, parola pe care ați introdus-o pentru a genera cheia privată aici. În continuare, va solicita informațiile dvs. juridice și personale. Aveți grijă să introduceți corect aceste informații.

În plus, este posibil să faceți toate operațiunile de până acum cu o singură linie de comandă. Dacă utilizați comanda de mai jos, puteți genera simultan atât cheia RSA privată, cât și fișierul CSR:

openssl.exesolicitat-nou- cheie nouărsa:2048-noduri-cheiemyPrivateKey2.cheie- afarămyCertRequest2.csr

Acum veți putea vedea fișierul numit myCertRequest.csr în directorul relevant. Acest fișier CSR pe care îl creați conține câteva informații despre:

  • Instituția care solicită certificatul.
  • Nume comun (adică numele domeniului).
  • Cheie publică (în scopuri de criptare).

Fișierele CSR pe care le creați trebuie să fie revizuite și aprobate de anumite autorități. Pentru aceasta, trebuie să trimiteți fișierul CSR direct autorității de certificare sau altor instituții intermediare.

Aceste autorități și case de brokeraj examinează dacă informațiile pe care le furnizați sunt corecte, în funcție de natura certificatului pe care îl doriți. De asemenea, poate fi necesar să trimiteți unele documente offline (fax, poștă etc.) pentru a dovedi dacă informațiile sunt corecte.

Pregătirea certificatului de către o autoritate de certificare

Când trimiteți fișierul CSR pe care l-ați creat unei autorități de certificare valide, autoritatea de certificare semnează fișierul și trimite certificatul instituției sau persoanei solicitante. Procedând astfel, autoritatea de certificare (cunoscută și ca CA) creează și un fișier PEM din fișierele CSR și RSA. Fișierul PEM este ultimul fișier necesar pentru un certificat autosemnat. Aceste etape asigură că Certificatele SSL rămân organizate, de încredere și sigure.

De asemenea, puteți crea singur fișierul PEM cu OpenSSL. Cu toate acestea, acest lucru poate reprezenta un risc potențial pentru securitatea certificatului dvs., deoarece autenticitatea sau validitatea acestuia din urmă nu este clară. De asemenea, faptul că certificatul dvs. nu este verificabil poate face ca acesta să nu funcționeze în unele aplicații și medii. Deci, pentru acest exemplu de certificat autosemnat, putem folosi un fișier PEM fals, dar, desigur, acest lucru nu este posibil în utilizarea în lumea reală.

Pentru moment, imaginați-vă un fișier PEM numit myPemKey.pem provine de la o autoritate oficială de certificare. Puteți utiliza următoarea comandă pentru a crea un fișier PEM pentru dvs.:

opensslx509-req-sha256-zile 365 -înmyCertRequest.csr-cheie de semnmyPrivateKey.cheie- afarămyPemKey.pem

Dacă ați avea un astfel de fișier, comanda pe care ar trebui să o utilizați pentru certificatul autosemnat ar fi:

openssl.exex509-req-zile 365 -înmyCertRequest.csr-cheie de semnmyPemKey.pem- afarămyselfSignedCert.cer

Această comandă înseamnă că fișierul CSR este semnat cu o cheie privată numită myPemKey.pem, valabil 365 de zile. Ca rezultat, creați un fișier de certificat numit mySelfSignedCert.cer.

Informații despre certificat autosemnat

Puteți utiliza următoarea comandă pentru a verifica informațiile de pe certificatul autosemnat pe care l-ați creat:

openssl.exex509-noout-text-înmyselfSignedCert.cer

Aceasta vă va afișa toate informațiile conținute în certificat. Este posibil să vedeți o mulțime de informații precum compania sau informațiile personale și algoritmii utilizați în certificat.

Ce se întâmplă dacă certificatele autosemnate nu sunt semnate de autoritatea de certificare?

Este esențial să auditați certificatele autosemnate pe care le creați și să confirmați că acestea sunt sigure. De obicei, un furnizor de certificate terță parte (adică o CA) face acest lucru. Dacă nu aveți un certificat semnat și aprobat de o autoritate de certificare terță parte și utilizați acest certificat neaprobat, veți întâmpina unele probleme de securitate.

Hackerii pot folosi certificatul dvs. autosemnat pentru a crea o copie falsă a unui site web, de exemplu. Acest lucru permite unui atacator să fure informațiile utilizatorilor. De asemenea, pot obține numele de utilizator, parolele sau alte informații sensibile ale utilizatorilor dvs.

Pentru a asigura securitatea utilizatorilor, site-urile web și alte servicii trebuie de obicei să utilizeze certificate care sunt de fapt certificate de o CA. Acest lucru oferă o asigurare că datele utilizatorului sunt criptate și se conectează la serverul corect.

Crearea certificatelor autosemnate pe Windows

După cum puteți vedea, crearea unui certificat autosemnat pe Windows cu OpenSSL este destul de simplă. Dar rețineți că veți avea nevoie și de aprobarea autorităților de certificare.

Cu toate acestea, realizarea unui astfel de certificat arată că iei în serios securitatea utilizatorilor, ceea ce înseamnă că aceștia vor avea mai multă încredere în tine, în site-ul tău și în marca ta generală.