دریافت گواهینامه SSL از هر یک از مقامات اصلی گواهینامه (CA) می تواند 100 دلار و بالاتر هزینه داشته باشد. به اخبار اضافه کنید که به نظر می رسد 100٪ مواقع نمی توان به همه CA های تأسیس شده اعتماد کرد و شما ممکن است تصمیم بگیرید که عدم قطعیت را دور زده و هزینه را با صدور گواهینامه خود حذف کنید.
مراحل
قسمت 1 از 4: ایجاد گواهینامه CA
مرحله 1. با صدور دستور زیر کلید خصوصی CA خود را ایجاد کنید
-
openssl genrsa -des3 -out server. CA.key 2048
-
گزینه ها توضیح داده شد
- openssl - نام نرم افزار
- genrsa - یک کلید خصوصی جدید ایجاد می کند
- -des3 - کلید را با استفاده از رمز DES رمزگذاری کنید
- -out server. CA.key - نام کلید جدید شما
- 2048 - طول ، بر حسب بیت ، کلید خصوصی (لطفاً به هشدارها مراجعه کنید)
- این گواهی و رمز عبور را در مکانی امن ذخیره کنید.
مرحله 2. درخواست امضای گواهی را ایجاد کنید
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
گزینه ها توضیح داده شد:
- req - یک درخواست امضا ایجاد می کند
- -verbose - جزئیات مربوط به درخواست را در حال ایجاد نشان می دهد (اختیاری)
- -new - یک درخواست جدید ایجاد می کند
- -key server. CA.key - کلید خصوصی که در بالا ایجاد کرده اید.
- -out server. CA.csr - نام پرونده درخواست امضای شما که ایجاد می کنید
- sha256 - الگوریتم رمزگذاری که برای امضای درخواست ها استفاده می شود (اگر نمی دانید این چیست ، این مورد را تغییر ندهید. فقط در صورتی که می دانید در حال انجام چه کاری هستید باید این مورد را تغییر دهید)
مرحله 3. اطلاعات را تا آنجا که ممکن است پر کنید
-
نام کشور (کد 2 حرف) [AU]:
آمریکا
-
نام ایالت یا استان (نام کامل) [برخی ایالت ها]:
CA
-
نام محل (به عنوان مثال ، شهر) :
سیلیکون ولی
-
نام سازمان (به عنوان مثال ، شرکت) [Internet Widgits Pty Ltd]:
wikiHow ، Inc.
- نام واحد سازمانی (به عنوان مثال ، بخش) :
-
نام مشترک (به عنوان مثال ، سرور FQDN یا نام شما) :
-
آدرس ایمیل :
مرحله 4 گواهینامه خود باشید مرحله 4. خود گواهی خود را امضا کنید:
-
openssl ca -extensions v3_ca -out server. CA -signature.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -پایان 330630235959Z -infiles server. CA.csr
-
گزینه ها توضیح داده شد:
- ca - ماژول مرجع صدور گواهینامه را بارگذاری می کند
- -extension v3_ca -برنامه افزودنی v3_ca را بارگیری می کند ، که برای استفاده در مرورگرهای مدرن ضروری است
- -out server. CA -sign.crt -نام کلید امضا شده جدید شما
- -keyfile server. CA.key - کلید خصوصی که در مرحله 1 ایجاد کرده اید
- -verbose - جزئیات مربوط به درخواست را در حال ایجاد نشان می دهد (اختیاری)
- -selfsign - به openssl می گوید که از کلید یکسانی برای امضای درخواست استفاده می کنید
- -md sha256 - الگوریتم رمزگذاری که برای پیام استفاده می شود. (اگر نمی دانید این چیست ، این را تغییر ندهید. فقط در صورتی که می دانید چه می کنید باید آن را تغییر دهید)
- -به تاریخ 330630235959Z - تاریخ پایان گواهینامه. نماد YYMMDDHHMMSSZ است که Z در GMT است ، گاهی اوقات به عنوان زمان "زولو" شناخته می شود.
- -infiles server. CA.csr - فایل درخواست امضای که مرحله بالا ایجاد کرده اید.
مرحله 5 گواهینامه خود باشید مرحله 5. گواهی CA خود را بررسی کنید
- openssl x509 -noout -text -in server. CA.crt
-
گزینه ها توضیح داده شد:
- x509 - ماژول x509 را برای بررسی گواهی های امضا شده بارگذاری می کند.
- -noout - متن کد شده را خروجی ندهید
- -text - اطلاعات را روی صفحه نمایش دهید
- -in server. CA.crt - گواهی امضا شده را بارگذاری کنید
- فایل server. CA.crt را می توان به هرکسی که از وب سایت شما استفاده می کند یا از گواهینامه هایی که قصد امضای آن را دارید استفاده می کند ، توزیع کرد.
قسمت 2 از 4: ایجاد گواهینامه های SSL برای یک سرویس ، مانند Apache
مرحله 6 گواهینامه خود باشید مرحله 1. یک کلید خصوصی ایجاد کنید
-
openssl genrsa -des3 -out server.apache.key 2048
-
گزینه ها توضیح داده شد:
- openssl - نام نرم افزار
- genrsa - یک کلید خصوصی جدید ایجاد می کند
- -des3 - کلید را با استفاده از رمز DES رمزگذاری کنید
- -out server.apache.key - نام کلید جدید شما
- 2048 - طول ، بر حسب بیت ، کلید خصوصی (لطفاً به هشدارها مراجعه کنید)
- این گواهی و رمز عبور را در مکانی امن ذخیره کنید.
مرحله 7 گواهینامه خود باشید مرحله 2. یک درخواست امضای گواهی ایجاد کنید
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
گزینه ها توضیح داده شد:
- req - یک درخواست امضا ایجاد می کند
- -verbose - جزئیات مربوط به درخواست را در حال ایجاد نشان می دهد (اختیاری)
- -new - یک درخواست جدید ایجاد می کند
- -key server.apache.key - کلید خصوصی که در بالا ایجاد کرده اید.
- -out server.apache.csr - نام فایل درخواست امضای شما در حال ایجاد است
- sha256 - الگوریتم رمزگذاری که برای امضای درخواست ها استفاده می شود (اگر نمی دانید این چیست ، این مورد را تغییر ندهید. فقط در صورتی که می دانید در حال انجام چه کاری هستید باید این مورد را تغییر دهید)
مرحله 8 گواهینامه خود باشید مرحله 3. از گواهی CA خود برای امضای کلید جدید استفاده کنید
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
گزینه ها توضیح داده شد:
- ca - ماژول مرجع صدور گواهینامه را بارگذاری می کند
- -out server.apache.pem - نام فایل گواهی امضا شده است
- -keyfile server. CA.key - نام فایل گواهی CA که درخواست را امضا می کند
- -infiles server.apache.csr - نام فایل درخواست امضای گواهی
مرحله 9 گواهینامه خود باشید مرحله 4. اطلاعات را تا آنجا که ممکن است پر کنید:
-
نام کشور (کد 2 حرف) [AU]:
آمریکا
-
نام ایالت یا استان (نام کامل) [برخی ایالت ها]:
CA
-
نام محل (به عنوان مثال ، شهر) :
سیلیکون ولی
-
نام سازمان (به عنوان مثال ، شرکت) [Internet Widgits Pty Ltd]:
wikiHow ، Inc.
- نام واحد سازمانی (به عنوان مثال ، بخش) :
-
نام مشترک (به عنوان مثال ، سرور FQDN یا نام شما) :
-
آدرس ایمیل :
مرحله 10 گواهینامه خود باشید مرحله 5. یک کپی از کلید خصوصی خود را در مکان دیگری ذخیره کنید
برای جلوگیری از درخواست آپاچی برای گذرواژه ، یک کلید خصوصی ایجاد کنید:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
گزینه ها توضیح داده شد:
- rsa - برنامه رمزگذاری RSA را اجرا می کند
- -in server.apache.key - نام کلیدی که می خواهید تبدیل کنید.
- -out server.apache.unsecured.key - نام فایل کلید جدید بدون امنیت
مرحله 11 گواهینامه خود باشید مرحله 6. از فایل server.apache.pem به همراه کلید خصوصی ایجاد شده در مرحله 1 برای پیکربندی فایل apache2.conf خود استفاده کنید
قسمت 3 از 4: ایجاد گواهی کاربر برای احراز هویت
مرحله 12 گواهینامه خود باشید مرحله 1. تمام مراحل _ ایجاد گواهینامه های SSL برای Apache_ را دنبال کنید
قدم سیزدهم گواهینامه خود باشید مرحله 2. گواهی امضا شده خود را به PKCS12 تبدیل کنید
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
قسمت 4 از 4: ایجاد گواهینامه های ایمیل S/MIME
مرحله 14 گواهینامه خود باشید مرحله 1. یک کلید خصوصی ایجاد کنید
openssl genrsa -des3 -out private_email.key 2048
مرحله 15 گواهینامه خود باشید مرحله 2. یک درخواست امضای گواهینامه ایجاد کنید
openssl req -new -key private_email.key -out private_email.csr
مرحله 16 گواهینامه خود باشید مرحله 3. از گواهی CA خود برای امضای کلید جدید استفاده کنید
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
مرحله 17 گواهینامه خود باشید مرحله 4. گواهی را به PKCS12 تبدیل کنید
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
مرحله 18 گواهینامه خود باشید مرحله 5. یک گواهی کلید عمومی برای توزیع ایجاد کنید
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "کلید عمومی WikiHow"
نکات
با صدور دستور زیر می توانید محتویات کلیدهای PEM را تغییر دهید: openssl x509 -noout -text -in certificate.pem
هشدارها
- کلیدهای 1024 بیتی منسوخ در نظر گرفته می شوند. کلیدهای 2048 بیتی تا سال 2030 برای گواهینامه های کاربر ایمن تلقی می شوند ، اما برای گواهی های ریشه کافی نیست. هنگام ایجاد گواهینامه های خود این آسیب پذیری ها را در نظر بگیرید.
- به طور پیش فرض ، اکثر مرورگرهای مدرن هنگام بازدید از سایت شما هشدار "گواهی نامعتبر" را نشان می دهند. بحث های زیادی در مورد نحوه شکل گیری این هشدارها وجود داشته است ، زیرا کاربران غیر فنی می توانند در حالت تعجب قرار بگیرند. اغلب بهتر است از یک مرجع اصلی استفاده کنید تا کاربران هشدارها را دریافت نکنند.
-
-
