Hvordan lage et selvsignert sertifikat med OpenSSL

Hvordan lage et selvsignert sertifikat med OpenSSL
Lesere som deg er med på å støtte MUO. Når du foretar et kjøp ved å bruke lenker på nettstedet vårt, kan vi tjene en tilknyttet provisjon. Les mer.

SSL/TLS-sertifikater er avgjørende for å sikre nettapplikasjonen eller serveren din. Mens flere pålitelige sertifikatmyndigheter tilbyr SSL/TLS-sertifikater for en kostnad, er det også mulig å generere et selvsignert sertifikat ved hjelp av OpenSSL. Selv om selvsignerte sertifikater mangler godkjenning fra en pålitelig autoritet, kan de fortsatt kryptere nettrafikken din. Så hvordan kan du bruke OpenSSL til å generere et selvsignert sertifikat for nettstedet eller serveren din?





MAKEUSE AV DAGENS VIDEO RULL FOR Å FORTSETTE MED INNHOLD

Hvordan installere OpenSSL

OpenSSL er åpen kildekode-programvare. Men hvis du ikke har programmeringsbakgrunn og er bekymret for byggeprosesser, har det litt av et teknisk oppsett. For å unngå dette kan du laste ned den nyeste versjonen av OpenSSLs kode, fullstendig kompilert og klar til å installere, fra slproweb sin side .



Her velger du MSI-utvidelsen til den nyeste OpenSSL-versjonen som passer for ditt system.





Skjermbilde fra slproweb-nettstedet for OpenSSL-nedlasting

Som et eksempel, vurder OpenSSL på D:\OpenSSL-Win64 . Du kan endre dette. Hvis installasjonen er fullført, åpne PowerShell som admin og naviger til undermappen som heter bin i mappen der du installerte OpenSSL. For å gjøre dette, bruk følgende kommando:

 cd 'D:\OpenSSL-Win64\bin'

Du har nå tilgang til openssl.exe og kan kjøre den som du vil.



Kjører versjonskommandoen for å se om openssl er installert

Generer din private nøkkel med OpenSSL

Du trenger en privat nøkkel for å lage et selvsignert sertifikat. I den samme bin-mappen kan du opprette denne private nøkkelen ved å skrive inn følgende kommando i PowerShell når du har åpnet som admin.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Denne kommandoen vil generere en 2048-bit lang, 3DES-kryptert RSA privat nøkkel via OpenSSL. OpenSSL vil be deg om å skrive inn et passord. Du bør bruke en sterkt og minneverdig passord . Etter å ha skrevet inn det samme passordet to ganger, vil du ha generert din private RSA-nøkkel.



Utdata fra kommandoen som brukes til å generere RSA-nøkkelen

Du kan finne din private RSA-nøkkel med navnet myPrivateKey.key .

Hvordan lage en CSR-fil med OpenSSL

Den private nøkkelen du oppretter vil ikke være nok alene. I tillegg trenger du en CSR-fil for å lage et selvsignert sertifikat. For å lage denne CSR-filen må du skrive inn en ny kommando i PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL vil også be om passordet du skrev inn for å generere den private nøkkelen her. Den vil videre be om din juridiske og personlige informasjon. Pass på at du legger inn denne informasjonen riktig.

Utdata fra kommandoen som brukes til å generere CSR-filen

I tillegg er det mulig å gjøre alle operasjonene så langt med en enkelt kommandolinje. Hvis du bruker kommandoen nedenfor, kan du generere både din private RSA-nøkkel og CSR-filen samtidig:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Utgang av kommando som brukes til å lage RSA- og CSR-filer på én gang

Du vil nå kunne se filen som heter myCertRequest.csr i den aktuelle katalogen. Denne CSR-filen du oppretter inneholder litt informasjon om:

  • Institusjonen som ber om sertifikatet.
  • Common Name (dvs. domenenavn).
  • Offentlig nøkkel (for krypteringsformål).

CSR-filene du oppretter må gjennomgås og godkjennes av visse myndigheter. For dette må du sende CSR-filen direkte til sertifiseringsmyndigheten eller andre formidlende institusjoner.

Disse myndighetene og meglerhusene undersøker om opplysningene du gir er korrekte, avhengig av hva slags sertifikat du ønsker. Du må kanskje også sende noen dokumenter offline (faks, post osv.) for å bevise om informasjonen er riktig.

meldingsapp fungerer ikke på mac

Utarbeidelse av sertifikat av en sertifiseringsinstans

Når du sender CSR-filen du opprettet til en gyldig sertifiseringsinstans, signerer sertifiseringsmyndigheten filen og sender sertifikatet til institusjonen eller personen som ber om. Ved å gjøre dette oppretter sertifiseringsmyndigheten (også kjent som en CA) også en PEM-fil fra CSR- og RSA-filene. PEM-filen er den siste filen som kreves for et selvsignert sertifikat. Disse stadiene sikrer det SSL-sertifikater forblir organiserte, pålitelige og sikre .

Du kan også lage PEM-fil selv med OpenSSL. Dette kan imidlertid utgjøre en potensiell risiko for sikkerheten til sertifikatet ditt fordi autentisiteten eller gyldigheten til sistnevnte ikke er klar. Det faktum at sertifikatet ditt ikke kan verifiseres kan føre til at det ikke fungerer i enkelte applikasjoner og miljøer. Så for dette eksempelet på et selvsignert sertifikat kan vi bruke en falsk PEM-fil, men dette er selvfølgelig ikke mulig i virkelighetens bruk.

For nå, se for deg en PEM-fil som heter myPemKey.pem kommer fra en offisiell sertifikatmyndighet. Du kan bruke følgende kommando for å lage en PEM-fil for deg selv:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Hvis du hadde en slik fil, ville kommandoen du bør bruke for ditt selvsignerte sertifikat være:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Denne kommandoen betyr at CSR-filen er signert med en privat nøkkel kalt myPemKey.pem , gyldig i 365 dager. Som et resultat oppretter du en sertifikatfil med navnet mySelfSignedCert.cer .

Bilde som selvsignert sertifikat finnes i mappen

Selvsignert sertifikatinformasjon

Du kan bruke følgende kommando for å sjekke informasjonen på det selvsignerte sertifikatet du har opprettet:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Dette vil vise deg all informasjonen i sertifikatet. Det er mulig å se mye informasjon som firma eller personopplysninger, og algoritmer som brukes i sertifikatet.

Hva om selvsignerte sertifikater ikke er signert av sertifiseringsmyndigheten?

Det er viktig å revidere de selvsignerte sertifikatene du oppretter og bekrefte at disse er sikre. En tredjeparts sertifikatleverandør (dvs. en CA) gjør vanligvis dette. Hvis du ikke har et sertifikat signert og godkjent av en tredjeparts sertifiseringsinstans, og du bruker dette ikke-godkjente sertifikatet, vil du få noen sikkerhetsproblemer.

Hackere kan bruke ditt selvsignerte sertifikat til å lage en falsk kopi av et nettsted, for eksempel. Dette lar en angriper stjele brukernes informasjon. De kan også få tak i brukernes brukernavn, passord eller annen sensitiv informasjon.

For å sikre sikkerheten til brukere, må nettsteder og andre tjenester vanligvis bruke sertifikater som faktisk er sertifisert av en CA. Dette gir en forsikring om at brukerens data er kryptert og kobles til riktig server.

Opprette selvsignerte sertifikater på Windows

Som du kan se, er det ganske enkelt å lage et selvsignert sertifikat på Windows med OpenSSL. Men husk at du også trenger godkjenning fra sertifiseringsmyndighetene.

Ikke desto mindre viser å lage et slikt sertifikat at du tar brukernes sikkerhet på alvor, noe som betyr at de vil stole mer på deg, nettstedet ditt og merkevaren din.