Làm thế nào để trở thành Cơ quan cấp chứng chỉ của riêng bạn (có Hình ảnh)

Bước 4. Tự ký chứng chỉ của bạn:

• openssl ca -extensions v3_ca -out server. CA-sign.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr

• Các tùy chọn được giải thích:

  • ca - Tải mô-đun Tổ chức phát hành chứng chỉ
  • -extension v3_ca - Tải phần mở rộng v3_ca, phần mở rộng phải có để sử dụng trên các trình duyệt hiện đại
  • -out server. CA-sign.crt - Tên của khóa đã ký mới của bạn
  • -keyfile server. CA.key - Khóa riêng tư bạn đã tạo ở bước 1
  • -verbose - hiển thị cho bạn thông tin chi tiết về yêu cầu khi nó đang được tạo (tùy chọn)
  • -sign - Cho openssl biết rằng bạn đang sử dụng cùng một khóa để ký vào yêu cầu
  • -md sha256 - Thuật toán mã hóa để sử dụng cho tin nhắn. (Nếu bạn không biết đây là gì, đừng thay đổi điều này. Bạn chỉ nên thay đổi điều này nếu bạn biết mình đang làm gì)
  • -enddate 330630235959Z - Ngày kết thúc của chứng chỉ. Kí hiệu là YYMMDDHHMMSSZ trong đó Z tính theo GMT, đôi khi được gọi là giờ "Zulu".
  • -infiles server. CA.csr - tệp yêu cầu ký mà bạn đã tạo ở bước trên.

Bước 5. Kiểm tra chứng chỉ CA của bạn

• openssl x509 -noout -text -in server. CA.crt

• Các tùy chọn được giải thích:

  • x509 - Tải mô-đun x509 để kiểm tra các chứng chỉ đã ký.
  • -noout - Không xuất văn bản được mã hóa
  • -text - xuất thông tin trên màn hình
  • -in server. CA.crt - Tải chứng chỉ đã ký
• Tệp server. CA.crt có thể được phân phối cho bất kỳ ai sẽ sử dụng trang web của bạn hoặc sử dụng các chứng chỉ mà bạn định ký.

Phần 2/4: Tạo Chứng chỉ SSL cho Dịch vụ, chẳng hạn như Apache

Bước 1. Tạo khóa riêng tư

• openssl genrsa -des3 -out server.apache.key 2048

• Các tùy chọn được giải thích:

  • openssl - tên của phần mềm
  • genrsa - tạo một khóa riêng tư mới
  • -des3 - mã hóa khóa bằng mật mã DES
  • -out server.apache.key - tên khóa mới của bạn
  • 2048 - độ dài, tính bằng bit, của khóa cá nhân (Vui lòng xem cảnh báo)
• Lưu trữ chứng chỉ này và mật khẩu ở một nơi an toàn.

Bước 2. Tạo yêu cầu ký chứng chỉ

• openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256

• Các tùy chọn được giải thích:

  • yêu cầu - Tạo yêu cầu ký
  • -verbose - hiển thị cho bạn thông tin chi tiết về yêu cầu khi nó đang được tạo (tùy chọn)
  • -new - tạo một yêu cầu mới
  • -key server.apache.key - Khóa riêng tư bạn vừa tạo ở trên.
  • -out server.apache.csr - Tên tệp của yêu cầu ký mà bạn đang tạo
  • sha256 - Thuật toán mã hóa để sử dụng cho các yêu cầu ký (Nếu bạn không biết đây là gì, đừng thay đổi điều này. Bạn chỉ nên thay đổi điều này nếu bạn biết mình đang làm gì)

Bước 3. Sử dụng chứng chỉ CA của bạn để ký khóa mới

• openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr

• Các tùy chọn được giải thích:

  • ca - Tải mô-đun Tổ chức phát hành chứng chỉ
  • -out server.apache.pem - Tên tệp cho chứng chỉ đã ký
  • -keyfile server. CA.key - Tên tệp của chứng chỉ CA sẽ ký yêu cầu
  • -infiles server.apache.csr - Tên tệp của Yêu cầu ký chứng chỉ

Bước 4. Điền thông tin nhiều nhất có thể:

• Tên quốc gia (mã 2 chữ cái) [AU]:

  CHÚNG TA

• Tên Tiểu bang hoặc Tỉnh (tên đầy đủ) [Một số Tiểu bang]:

  CA

• Tên địa phương (ví dụ: thành phố) :

  Thung lũng Silicon

• Tên tổ chức (ví dụ: công ty) [Internet Widgits Pty Ltd]:

  wikiHow, Inc.

• Tên đơn vị tổ chức (ví dụ: phần) :

• Tên chung (ví dụ: máy chủ FQDN hoặc tên BẠN) :

• Địa chỉ email :

Bước 5. Lưu một bản sao của khóa cá nhân của bạn ở một vị trí khác

Tạo khóa riêng tư không có mật khẩu để ngăn Apache nhắc bạn nhập mật khẩu:

• openssl rsa -in server.apache.key -out server.apache.unsecured.key

• Các tùy chọn được giải thích:

  • rsa - Chạy chương trình mã hóa RSA
  • -in server.apache.key - Tên khóa mà bạn muốn chuyển đổi.
  • -out server.apache.unsecured.key - Tên tệp của khóa không an toàn mới

Bước 6. Sử dụng tệp server.apache.pem kết quả cùng với khóa riêng mà bạn đã tạo ở bước 1 để định cấu hình tệp apache2.conf của bạn

Phần 3/4: Tạo Chứng chỉ Người dùng để Xác thực

Bước 1. Làm theo tất cả các bước trong _Tạo chứng chỉ SSL cho Apache_

Bước 2. Chuyển đổi chứng chỉ đã ký của bạn thành PKCS12

openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12

Phần 4/4: Tạo chứng chỉ email S / MIME

Bước 1. Tạo khóa riêng tư

openssl genrsa -des3 -out private_email.key 2048

Bước 2. Tạo Yêu cầu ký Chứng chỉ

openssl req -new -key private_email.key -out private_email.csr

Bước 3. Sử dụng chứng chỉ CA của bạn để ký khóa mới

openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr

Bước 4. Chuyển đổi chứng chỉ sang PKCS12

openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12

Bước 5. Tạo chứng chỉ Khóa công khai để phân phối

openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow's Public Key"

Lời khuyên

Bạn có thể thay đổi nội dung của các khóa PEM bằng cách sử dụng lệnh sau: openssl x509 -noout -text -in certificate.pem

Cảnh báo

• Các khóa 1024-bit được coi là lỗi thời. Các khóa 2048-bit được coi là an toàn cho chứng chỉ người dùng cho đến năm 2030, nhưng được coi là không đủ cho chứng chỉ gốc. Hãy xem xét những lỗ hổng này khi bạn tạo chứng chỉ của mình.
• Theo mặc định, hầu hết các trình duyệt hiện đại sẽ hiển thị cảnh báo "Chứng chỉ không đáng tin cậy" khi ai đó truy cập trang web của bạn. Đã có nhiều tranh luận về từ ngữ của những cảnh báo này, vì những người dùng không am hiểu kỹ thuật có thể mất cảnh giác. Tốt nhất bạn nên sử dụng một cơ quan chính quyền để người dùng không nhận được các cảnh báo.