Tworzenie siebie

W tym artykule wyjaśniono, jak utworzyć samopodpisany certyfikat SSL za pomocą narzędzia openssl.

Co to jest certyfikat SSL z podpisem własnym?

Samopodpisany certyfikat SSL to certyfikat podpisany przez osobę, która go utworzyła, a nie przez zaufany urząd certyfikacji. Certyfikaty z podpisem własnym mogą mieć taki sam poziom szyfrowania, jak zaufany certyfikat SSL podpisany przez urząd certyfikacji.

Certyfikaty z podpisem własnym uznane za ważne przez dowolną przeglądarkę. Jeśli używasz samopodpisanego certyfikatu, przeglądarka wyświetli ostrzeżenie dla odwiedzającego, że certyfikat witryny nie może zostać zweryfikowany.

Certyfikaty z podpisem własnym są najczęściej używane do celów testowych lub do użytku wewnętrznego. Nie należy używać samopodpisanego certyfikatu w systemach produkcyjnych narażonych na działanie Internetu.

Wymagania wstępne

Zestaw narzędzi openssl jest wymagany do wygenerowania certyfikatu z podpisem własnym.

Aby sprawdzić, czy pakiet openssl jest zainstalowany w systemie Linux, otwórz terminal, wpisz openssl version i naciśnij klawisz Enter. Jeśli pakiet jest zainstalowany, system wydrukuje wersję OpenSSL, w przeciwnym razie zobaczysz coś takiego jak openssl command not found .

Jeśli pakiet openssl nie jest zainstalowany w systemie, możesz go zainstalować, uruchamiając następujące polecenie:

• Ubuntu i Debian

  sudo apt install openssl

  Centos i Fedora

  sudo yum install openssl

Tworzenie samopodpisanego certyfikatu SSL

Aby utworzyć nowy samopodpisany certyfikat SSL, użyj polecenia openssl req :

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key

Rozłóżmy polecenie i zrozummy, co oznacza każda opcja:

• -newkey rsa:4096 - Tworzy nowe żądanie certyfikatu i 4096-bitowy klucz RSA. Domyślny to 2048 bitów. -x509 - Tworzy certyfikat X.509. -sha256 - Użyj 265-bitowego algorytmu SHA (bezpiecznego algorytmu skrótu). -days 3650 - liczba dni poświadczania certyfikatu. 3650 to 10 lat. Możesz użyć dowolnej dodatniej liczby całkowitej. -nodes - Tworzy klucz bez hasła. -out example.crt - określa nazwę pliku, na który ma zostać zapisany nowo utworzony certyfikat. Możesz podać dowolną nazwę pliku. -keyout example.key - Określa nazwę pliku, na który ma zostać -keyout example.key nowo utworzony klucz prywatny. Możesz podać dowolną nazwę pliku.

Aby uzyskać więcej informacji o opcjach polecenia openssl req odwiedź stronę dokumentacji OpenSSL req.

Po naciśnięciu klawisza Enter polecenie wygeneruje klucz prywatny i zada szereg pytań, które zostaną wykorzystane do wygenerowania certyfikatu.

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. -----

Wprowadź wymagane informacje i naciśnij Enter.

Country Name (2 letter code):US State or Province Name (full name):Alabama Locality Name (eg, city):Montgomery Organization Name (eg, company):Linuxize Organizational Unit Name (eg, section):Marketing Common Name (eg server FQDN or YOUR name):linuxize.com Email Address:[email protected]

Certyfikat i klucz prywatny zostaną utworzone w określonej lokalizacji. Użyj polecenia ls, aby sprawdzić, czy pliki zostały utworzone:

ls

example.crt example.key

Otóż ​​to! Wygenerowałeś nowy samopodpisany certyfikat SSL.

Zawsze warto wykonać kopię zapasową nowego certyfikatu i klucza do pamięci zewnętrznej.

Tworzenie samopodpisanego certyfikatu SSL bez monitu

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key \ -subj "/C=SI/ST=Ljubljana/L=Ljubljana/O=Security/OU=IT Department/CN=www.example.com"

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' -----

Pola określone w wierszu -subj są wymienione poniżej:

• C= - nazwa kraju. Dwuliterowy skrót ISO. ST= - nazwa stanu lub prowincji. L= - nazwa miejscowości. Nazwa miasta, w którym się znajdujesz. O= - Pełna nazwa Twojej organizacji. OU= - jednostka organizacyjna. CN= - W pełni kwalifikowana nazwa domeny.

Wniosek

W tym przewodniku pokazaliśmy, jak wygenerować samopodpisany certyfikat SSL za pomocą narzędzia openssl. Teraz, gdy masz certyfikat, możesz skonfigurować aplikację, aby go używała.

Jeśli masz jakieś pytania, zostaw komentarz.

terminal bezpieczeństwa bash