Sådan opretter du et selvsigneret certifikat med OpenSSL

Sådan opretter du et selvsigneret certifikat med OpenSSL
Læsere som dig hjælper med at støtte MUO. Når du foretager et køb ved hjælp af links på vores websted, kan vi optjene en affiliate-kommission. Læs mere.

SSL/TLS-certifikater er afgørende for at sikre din webapplikation eller server. Mens flere pålidelige certifikatmyndigheder leverer SSL/TLS-certifikater for en omkostning, er det også muligt at generere et selvsigneret certifikat ved hjælp af OpenSSL. Selvom selvsignerede certifikater mangler godkendelse fra en betroet myndighed, kan de stadig kryptere din webtrafik. Så hvordan kan du bruge OpenSSL til at generere et selvsigneret certifikat til din hjemmeside eller server?





MAKEUSE AF DAGENS VIDEO RUL FOR AT FORTSÆTTE MED INDHOLD

Sådan installeres OpenSSL

OpenSSL er open source software. Men hvis du ikke har en programmeringsbaggrund og er bekymret for byggeprocesser, har det lidt af et teknisk setup. For at undgå dette kan du downloade den seneste version af OpenSSLs kode, fuldt kompileret og klar til installation, fra slprowebs websted .



Vælg her MSI-udvidelsen af ​​den seneste OpenSSL-version, der passer til dit system.





Skærmbillede fra slproweb hjemmeside til OpenSSL download

Som et eksempel kan du overveje OpenSSL på D:\OpenSSL-Win64 . Du kan ændre dette. Hvis installationen er fuldført, åbne PowerShell som admin og naviger til den navngivne undermappe beholder i mappen, hvor du installerede OpenSSL. For at gøre dette skal du bruge følgende kommando:

 cd 'D:\OpenSSL-Win64\bin'

Du har nu adgang til openssl.exe og kan køre det som du vil.



Kører versionskommandoen for at se, om openssl er installeret

Generer din private nøgle med OpenSSL

Du skal bruge en privat nøgle for at oprette et selvsigneret certifikat. I samme bin-mappe kan du oprette denne private nøgle ved at indtaste følgende kommando i PowerShell, når du har åbnet som admin.

opret en afstemning på facebook -siden 
 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Denne kommando vil generere en 2048-bit lang, 3DES-krypteret RSA privat nøgle via OpenSSL. OpenSSL vil bede dig om at indtaste en adgangskode. Du skal bruge en stærk og mindeværdig adgangskode . Efter at have indtastet den samme adgangskode to gange, vil du have genereret din private RSA-nøgle.



Output af den kommando, der bruges til at generere RSA-nøglen

Du kan finde din private RSA-nøgle med navnet myPrivateKey.key .

Sådan opretter du en CSR-fil med OpenSSL

Den private nøgle, du opretter, vil ikke være nok alene. Derudover skal du bruge en CSR-fil for at lave et selvsigneret certifikat. For at oprette denne CSR-fil skal du indtaste en ny kommando i PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL vil også bede om den adgangskode, du indtastede for at generere den private nøgle her. Det vil yderligere anmode om dine juridiske og personlige oplysninger. Vær forsigtig med at indtaste disse oplysninger korrekt.

Output af den kommando, der bruges til at generere CSR-filen

Derudover er det muligt at udføre alle operationerne indtil videre med en enkelt kommandolinje. Hvis du bruger kommandoen nedenfor, kan du generere både din private RSA-nøgle og CSR-filen på én gang:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Output af kommando, der bruges til at oprette RSA- og CSR-filer på én gang

Du vil nu kunne se filen med navnet myCertRequest.csr i den relevante mappe. Denne CSR-fil, du opretter, indeholder nogle oplysninger om:

  • Den institution, der anmoder om certifikatet.
  • Fælles navn (dvs. domænenavn).
  • Offentlig nøgle (til krypteringsformål).

De CSR-filer, du opretter, skal gennemgås og godkendes af visse myndigheder. Til dette skal du sende CSR-filen direkte til certifikatmyndigheden eller andre formidlende institutioner.

Disse myndigheder og mæglerhuse undersøger, om de oplysninger, du giver, er korrekte, afhængigt af arten af ​​det certifikat, du ønsker. Du skal muligvis også sende nogle dokumenter offline (fax, mail osv.) for at bevise, om oplysningerne er rigtige.

Udarbejdelse af certifikat af en certificeringsmyndighed

Når du sender den CSR-fil, du har oprettet, til en gyldig certifikatmyndighed, underskriver certifikatmyndigheden filen og sender certifikatet til den anmodende institution eller person. Ved at gøre det opretter certificeringsmyndigheden (også kendt som en CA) også en PEM-fil fra CSR- og RSA-filerne. PEM-filen er den sidste fil, der kræves til et selvsigneret certifikat. Disse faser sikrer det SSL-certifikater forbliver organiserede, pålidelige og sikre .

som leder efter mig gratis

Du kan også selv oprette PEM-fil med OpenSSL. Dette kan dog udgøre en potentiel risiko for dit certifikats sikkerhed, fordi ægtheden eller gyldigheden af ​​sidstnævnte ikke er klar. Det faktum, at dit certifikat ikke kan verificeres, kan også medføre, at det ikke virker i nogle applikationer og miljøer. Så for dette eksempel på et selvsigneret certifikat kan vi bruge en falsk PEM-fil, men det er selvfølgelig ikke muligt i den virkelige verden.

Forestil dig nu en PEM-fil ved navn myPemKey.pem kommer fra en officiel certifikatmyndighed. Du kan bruge følgende kommando til at oprette en PEM-fil til dig selv:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Hvis du havde en sådan fil, ville kommandoen du skulle bruge til dit selvsignerede certifikat være:

hvordan man sletter en bruger på ps4 
 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Denne kommando betyder, at CSR-filen er signeret med en privat nøgle med navnet myPemKey.pem , gyldig i 365 dage. Som et resultat opretter du en certifikatfil med navnet mySelfSignedCert.cer .

Billede, hvor selvsigneret certifikat findes i mappen

Selvsigneret certifikatinformation

Du kan bruge følgende kommando til at kontrollere oplysningerne på det selvsignerede certifikat, du har oprettet:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Dette vil vise dig alle oplysningerne i certifikatet. Det er muligt at se en masse information såsom virksomheden eller personlige oplysninger, og algoritmer brugt i certifikatet.

Hvad hvis selvsignerede certifikater ikke er underskrevet af certificeringsmyndigheden?

Det er vigtigt at kontrollere de selvsignerede certifikater, du opretter, og bekræfte, at disse er sikre. En tredjeparts certifikatudbyder (dvs. en CA) gør normalt dette. Hvis du ikke har et certifikat, der er underskrevet og godkendt af en tredjeparts certifikatmyndighed, og du bruger dette ikke-godkendte certifikat, vil du løbe ind i nogle sikkerhedsproblemer.

Hackere kan bruge dit selvsignerede certifikat til for eksempel at lave en falsk kopi af en hjemmeside. Dette giver en angriber mulighed for at stjæle brugernes oplysninger. De kan også få fat i dine brugeres brugernavne, adgangskoder eller andre følsomme oplysninger.

For at sikre brugernes sikkerhed skal websteder og andre tjenester typisk bruge certifikater, der faktisk er certificeret af en CA. Dette giver en sikkerhed for, at brugerens data er krypteret og forbinder til den korrekte server.

Oprettelse af selvsignerede certifikater på Windows

Som du kan se, er det ret simpelt at oprette et selvsigneret certifikat på Windows med OpenSSL. Men husk på, at du også skal have godkendelse fra certificeringsmyndigheder.

Ikke desto mindre viser det at lave et sådant certifikat, at du tager brugernes sikkerhed alvorligt, hvilket betyder, at de vil stole mere på dig, dit websted og dit overordnede brand.