Pokažite posjetiteljima svoje stranice da njihovu sigurnost shvaćate ozbiljno stvaranjem vlastitog SSL certifikata koristeći OpenSSL.
SSL/TLS certifikati neophodni su za zaštitu vaše web aplikacije ili poslužitelja. Dok nekoliko pouzdanih certifikacijskih tijela nudi SSL/TLS certifikate uz naplatu, također je moguće generirati samopotpisani certifikat pomoću OpenSSL-a. Iako samopotpisani certifikati nemaju odobrenje pouzdanog tijela, oni i dalje mogu šifrirati vaš web promet. Dakle, kako možete koristiti OpenSSL za generiranje samopotpisanog certifikata za vaše web mjesto ili poslužitelj?
Kako instalirati OpenSSL
OpenSSL je softver otvorenog koda. Ali ako nemate iskustvo u programiranju i zabrinuti ste za procese izrade, ima malo tehničkih postavki. Kako biste to izbjegli, možete preuzeti najnoviju verziju koda OpenSSL-a, potpuno kompiliranu i spremnu za instalaciju, s slprowebova stranica.
Ovdje odaberite MSI ekstenziju najnovije OpenSSL verzije koja odgovara vašem sustavu.
Kao primjer, razmotrite OpenSSL na
D:\OpenSSL-Win64. Možete promijeniti ovo. Ako je instalacija završena, otvorite PowerShell kao administrator i dođite do podmape pod nazivom kanta za smeće u mapi u kojoj ste instalirali OpenSSL. Da biste to učinili, koristite sljedeću naredbu:CD'D:\OpenSSL-Win64\bin'
Sada imate pristup openssl.exe i možete ga pokrenuti kako god želite.
Generirajte svoj privatni ključ s OpenSSL-om
Za izradu samopotpisanog certifikata trebat će vam privatni ključ. U istoj mapi bin možete stvoriti ovaj privatni ključ unosom sljedeće naredbe u PowerShell nakon što ga otvorite kao administrator.
openssl.exegenrsa-des3-vanmyPrivateKey.ključ 2048
Ova naredba će generirati 2048-bitni RSA privatni ključ šifriran 3DES-om putem OpenSSL-a. OpenSSL će od vas tražiti da unesete lozinku. Trebali biste koristiti a jaka i nezaboravna lozinka. Nakon što dvaput unesete istu lozinku, uspješno ćete generirati svoj RSA privatni ključ.
Možete pronaći svoj privatni RSA ključ s imenom myPrivateKey.ključ.
Kako stvoriti CSR datoteku s OpenSSL-om
Privatni ključ koji izradite neće biti dovoljan sam po sebi. Osim toga, potrebna vam je CSR datoteka za izradu samopotpisanog certifikata. Da biste stvorili ovu CSR datoteku, trebate unijeti novu naredbu u PowerShell:
openssl.exezahtijevati-novi-ključmyPrivateKey.ključ-vanmyCertRequest.csr
OpenSSL će također tražiti lozinku koju ste unijeli za generiranje privatnog ključa ovdje. Nadalje će tražiti vaše pravne i osobne podatke. Pazite da ispravno unesete ove podatke.
Osim toga, sve dosadašnje radnje moguće je obaviti s jednom naredbenom retkom. Ako koristite naredbu u nastavku, možete generirati i svoj privatni RSA ključ i CSR datoteku odjednom:
openssl.exezahtijevati-novi-novi ključRSA:2048-čvorovi-ključnicamyPrivateKey2.ključ-vanmyCertRequest2.csr
Sada ćete moći vidjeti datoteku pod nazivom myCertRequest.csr u odgovarajućem imeniku. Ova CSR datoteka koju izradite sadrži neke informacije o:
- Institucija koja traži potvrdu.
- Common Name (tj. naziv domene).
- Javni ključ (za potrebe šifriranja).
CSR datoteke koje izradite moraju pregledati i odobriti određena tijela. Da biste to učinili, CSR datoteku trebate poslati izravno certifikacijskom tijelu ili drugim posredničkim institucijama.
Ta tijela i brokerske kuće provjeravaju jesu li podaci koje dajete točni, ovisno o prirodi željenog certifikata. Možda ćete također trebati poslati neke dokumente izvan mreže (faks, pošta, itd.) kako biste dokazali jesu li informacije točne.
Priprema certifikata od strane certifikacijskog tijela
Kada pošaljete CSR datoteku koju ste izradili valjanom tijelu za izdavanje certifikata, tijelo za izdavanje certifikata potpisuje datoteku i šalje certifikat instituciji ili osobi koja je zatražila. Pritom tijelo za izdavanje certifikata (poznato i kao CA) također stvara PEM datoteku iz CSR i RSA datoteka. PEM datoteka posljednja je datoteka potrebna za samopotpisani certifikat. Ove faze osiguravaju da SSL certifikati ostaju organizirani, pouzdani i sigurni.
Također možete sami izraditi PEM datoteku pomoću OpenSSL-a. Međutim, to može predstavljati potencijalni rizik za sigurnost vašeg certifikata jer autentičnost ili valjanost potonjeg nije jasna. Također, činjenica da se vaš certifikat ne može provjeriti može uzrokovati da ne radi u nekim aplikacijama i okruženjima. Dakle, za ovaj primjer samopotpisanog certifikata, možemo koristiti lažnu PEM datoteku, ali, naravno, to nije moguće u stvarnoj upotrebi.
Za sada zamislite PEM datoteku pod nazivom myPemKey.pem dolazi od službenog tijela za izdavanje certifikata. Možete koristiti sljedeću naredbu za izradu PEM datoteke za sebe:
opensslx509-req-sha256-dani 365 -umyCertRequest.csr-tipkamyPrivateKey.ključ-vanmyPemKey.pem
Da imate takvu datoteku, naredba koju biste trebali koristiti za svoj samopotpisani certifikat bila bi:
openssl.exex509-req-dani 365 -umyCertRequest.csr-tipkamyPemKey.pem-vanmySelfSignedCert.cer
Ova naredba znači da je CSR datoteka potpisana privatnim ključem pod nazivom myPemKey.pem, vrijedi 365 dana. Kao rezultat, stvarate datoteku certifikata pod nazivom mySelfSignedCert.cer.
Informacije o samopotpisanom certifikatu
Možete koristiti sljedeću naredbu za provjeru informacija o samopotpisanom certifikatu koji ste izradili:
openssl.exex509-noout-tekst-umySelfSignedCert.cer
Ovo će vam pokazati sve informacije sadržane u potvrdi. Moguće je vidjeti mnoštvo informacija poput tvrtke ili osobnih podataka te algoritama koji se koriste u certifikatu.
Što ako samopotpisane certifikate ne potpiše tijelo za izdavanje certifikata?
Neophodno je provjeriti samopotpisane certifikate koje izradite i potvrditi da su sigurni. To obično radi davatelj certifikata treće strane (tj. CA). Ako nemate certifikat koji je potpisao i odobrio davatelj certifikata treće strane, a koristite ovaj neodobreni certifikat, naići ćete na neke sigurnosne probleme.
Hakeri mogu koristiti vaš samopotpisani certifikat za stvaranje lažne kopije web stranice, na primjer. To napadaču omogućuje krađu podataka korisnika. Također se mogu dokopati korisničkih imena, lozinki ili drugih osjetljivih informacija.
Kako bi se osigurala sigurnost korisnika, web-mjesta i druge usluge obično moraju koristiti certifikate koje je stvarno certificirao CA. Time se jamči da su korisnički podaci šifrirani i da se povezuju s ispravnim poslužiteljem.
Stvaranje samopotpisanih certifikata u sustavu Windows
Kao što vidite, stvaranje samopotpisanog certifikata u sustavu Windows s OpenSSL-om prilično je jednostavno. Ali imajte na umu da će vam trebati i odobrenje certifikacijskih tijela.
Unatoč tome, izrada takvog certifikata pokazuje da ozbiljno shvaćate sigurnost korisnika, što znači da će više vjerovati vama, vašoj web-lokaciji i vašoj cjelokupnoj robnoj marki.
