كيف تكون المرجع المصدق الخاص بك (بالصور)

2024 مؤلف: Gilbert Ryder | [email protected]. آخر تعديل: 2024-02-02 01:07

يمكن أن يؤدي الحصول على شهادة SSL من أي من المراجع المصدقة (CAs) الرئيسية إلى تشغيل 100 دولار وما فوق. أضف إلى هذا المزيج ، القصص الإخبارية التي يبدو أنها تشير إلى أنه لا يمكن الوثوق بجميع المراجع المصدقة (CA) التي تم إنشاؤها بنسبة 100٪ من الوقت ، وقد تقرر التحايل على حالة عدم اليقين ومحو التكلفة من خلال كونك مرجعًا مصدقًا خاصًا بك.

خطوات

جزء 1 من 4: إنشاء شهادة CA الخاصة بك

الخطوة 1. قم بإنشاء المفتاح الخاص لـ CA بإصدار الأمر التالي

opensl genrsa -des3 -out server. CA.key 2048
وأوضح الخيارات
- openssl - اسم البرنامج
- genrsa - إنشاء مفتاح خاص جديد
- -des3 - تشفير المفتاح باستخدام تشفير DES
- -out server. CA.key - اسم مفتاحك الجديد
- 2048 - الطول بالبتات للمفتاح الخاص (يرجى مراجعة التحذيرات)
قم بتخزين هذه الشهادة وكلمة المرور في مكان آمن.

الخطوة 2. إنشاء طلب توقيع الشهادة

opensl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
وأوضح الخيارات:
- مطلوب - ينشئ طلب توقيع
- -إفراط - يعرض لك تفاصيل حول الطلب أثناء إنشائه (اختياري)
- -جديد - إنشاء طلب جديد
- -key server. CA.key - المفتاح الخاص الذي أنشأته للتو أعلاه.
- -out server. CA.csr - اسم ملف طلب التوقيع الذي تقوم بإنشائه
- sha256 - خوارزمية التشفير المراد استخدامها لتوقيع الطلبات (إذا كنت لا تعرف ما هو هذا ، فلا تغير هذا. يجب عليك فقط تغيير هذا إذا كنت تعرف ما تفعله)

الخطوة 3. املأ المعلومات قدر الإمكان

اسم البلد (رمز مكون من حرفين) [أستراليا]: نحن



اسم الولاية أو المقاطعة (الاسم الكامل) [بعض الولايات]:
كاليفورنيا


اسم المنطقة (على سبيل المثال ، المدينة) :
وادي السيليكون


اسم المنظمة (على سبيل المثال ، الشركة) [Internet Widgits Pty Ltd]:
wikiHow، Inc.

اسم الوحدة التنظيمية (على سبيل المثال ، القسم) :

الاسم الشائع (على سبيل المثال ، FQDN للخادم أو اسمك) :

عنوان البريد الإلكتروني : كن المرجع المصدق الخاص بك الخطوة 4 الخطوة 4. قم بالتوقيع الذاتي على شهادتك: opensl ca- ملحقات v3_ca -out server. CA-signed.crt -keyfile server. CA.key -verbose -selfsign -md sha256-enddate 330630235959Z -infiles server. CA.csr وأوضح الخيارات: ca - يقوم بتحميل الوحدة النمطية للمرجع المصدق -extension v3_ca - يتم تحميل امتداد v3_ca ، وهو أمر لا بد منه للاستخدام في المتصفحات الحديثة -out server. CA -igned.crt - اسم مفتاحك الموقع الجديد -keyfile server. CA.key - المفتاح الخاص الذي أنشأته في الخطوة 1 -إفراط - يعرض لك تفاصيل حول الطلب أثناء إنشائه (اختياري) -selfsign - يخبر openssl أنك تستخدم نفس المفتاح لتوقيع الطلب -md sha256 - خوارزمية التشفير المراد استخدامها للرسالة. (إذا كنت لا تعرف ما هو هذا ، فلا تغير هذا. يجب عليك فقط تغيير هذا إذا كنت تعرف ما تفعله) -enddate 330630235959Z - تاريخ انتهاء الشهادة. التدوين هو YYMMDDHHMMSSZ حيث يكون Z بتوقيت GMT ، يُعرف أحيانًا باسم وقت "Zulu". -infiles server. CA.csr - ملف طلب التوقيع الذي أنشأته في الخطوة أعلاه. كن المرجع المصدق الخاص بك الخطوة 5 الخطوة 5. افحص شهادة CA الخاصة بك opensl x509-noout-text -in server. CA.crt وأوضح الخيارات: x509 - يتم تحميل الوحدة النمطية x509 لفحص الشهادات الموقعة. -لاوت - لا تخرج النص المشفر -نص - إخراج المعلومات على الشاشة -in server. CA.crt - قم بتحميل الشهادة الموقعة يمكن توزيع ملف server. CA.crt على أي شخص سيستخدم موقع الويب الخاص بك أو يستخدم الشهادات التي تخطط للتوقيع عليها. جزء 2 من 4: إنشاء شهادات SSL لخدمة ، مثل Apache كن المرجع المصدق الخاص بك الخطوة 6 الخطوة 1. قم بإنشاء مفتاح خاص opensl genrsa -des3 -out server.apache.key 2048 وأوضح الخيارات: openssl - اسم البرنامج genrsa - إنشاء مفتاح خاص جديد -des3 - تشفير المفتاح باستخدام تشفير DES -out server.apache.key - اسم مفتاحك الجديد 2048 - الطول بالبتات للمفتاح الخاص (يرجى مراجعة التحذيرات) قم بتخزين هذه الشهادة وكلمة المرور في مكان آمن. كن المرجع المصدق الخاص بك الخطوة 7 الخطوة 2. إنشاء طلب توقيع الشهادة opensl req -verbose -new -key server.apache.key -out server.apache.csr -sha256 وأوضح الخيارات: مطلوب - ينشئ طلب توقيع -إفراط - يعرض لك تفاصيل حول الطلب أثناء إنشائه (اختياري) -جديد - إنشاء طلب جديد -key server.apache.key - المفتاح الخاص الذي أنشأته للتو أعلاه. -out server.apache.csr - اسم ملف طلب التوقيع الذي تقوم بإنشائه sha256 - خوارزمية التشفير المراد استخدامها لتوقيع الطلبات (إذا كنت لا تعرف ما هو هذا ، فلا تغير هذا. يجب عليك فقط تغيير هذا إذا كنت تعرف ما تفعله) كن المرجع المصدق الخاص بك الخطوة 8 الخطوة الثالثة. استخدم شهادة CA الخاصة بك لتوقيع المفتاح الجديد opensl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr وأوضح الخيارات: ca - يقوم بتحميل الوحدة النمطية للمرجع المصدق -out server.apache.pem - اسم الملف الشهادة الموقعة -keyfile server. CA.key - اسم ملف شهادة CA التي ستوقع الطلب -infiles server.apache.csr - اسم ملف طلب توقيع الشهادة كن المرجع المصدق الخاص بك الخطوة 9 الخطوة 4. املأ المعلومات قدر الإمكان: اسم الدولة (رمز مكون من حرفين) [أستراليا]: نحن اسم الولاية أو المقاطعة (الاسم الكامل) [بعض الولايات]: كاليفورنيا اسم المنطقة (على سبيل المثال ، المدينة) : وادي السيليكون اسم المنظمة (على سبيل المثال ، الشركة) [Internet Widgits Pty Ltd]: wikiHow، Inc. اسم الوحدة التنظيمية (على سبيل المثال ، القسم) : الاسم الشائع (على سبيل المثال ، FQDN للخادم أو اسمك) : عنوان البريد الإلكتروني : كن المرجع المصدق الخاص بك الخطوة 10 الخطوة 5. احفظ نسخة من مفتاحك الخاص في مكان آخر أنشئ مفتاحًا خاصًا بدون كلمة مرور لمنع Apache من مطالبتك بكلمة مرور: opensl rsa -in server.apache.key -out server.apache.unsecured.key وأوضح الخيارات: rsa - يقوم بتشغيل برنامج تشفير RSA -in server.apache.key - اسم المفتاح الذي تريد تحويله. -out server.apache.unsecured.key - اسم ملف المفتاح غير الآمن الجديد كن المرجع المصدق الخاص بك الخطوة 11 الخطوة 6. استخدم ملف server.apache.pem الناتج مع المفتاح الخاص الذي أنشأته في الخطوة 1 لتهيئة ملف apache2.conf جزء 3 من 4: إنشاء شهادة مستخدم للمصادقة كن المرجع المصدق الخاص بك الخطوة 12 الخطوة 1. اتبع جميع الخطوات الواردة في _إنشاء شهادات SSL لـ Apache_ كن المرجع المصدق الخاص بك الخطوة 13 الخطوة 2. تحويل شهادتك الموقعة إلى PKCS12 opensl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12 جزء 4 من 4: إنشاء شهادات بريد إلكتروني S / MIME كن المرجع المصدق الخاص بك الخطوة 14 الخطوة 1. قم بإنشاء مفتاح خاص opensl genrsa -des3 -out private_email.key 2048 كن المرجع المصدق الخاص بك الخطوة 15 الخطوة 2. إنشاء طلب توقيع شهادة opensl req-new -key private_email.key -out private_email.csr كن المرجع المصدق الخاص بك الخطوة 16 الخطوة الثالثة. استخدم شهادة CA لتوقيع المفتاح الجديد opensl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr كن المرجع المصدق الخاص بك الخطوة 17 الخطوة 4. تحويل الشهادة إلى PKCS12 opensl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12 كن المرجع المصدق الخاص بك الخطوة 18 الخطوة 5. إنشاء شهادة مفتاح عمومي للتوزيع openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow's Public Key" نصائح يمكنك تنويع محتويات مفاتيح PEM بإصدار الأمر التالي: openssl x509 -noout -text -in Certificate.pem تحذيرات تعتبر مفاتيح 1024 بت قديمة. تعتبر مفاتيح 2048 بت آمنة لشهادات المستخدم حتى عام 2030 ، ولكنها تعتبر غير كافية لشهادات الجذر. ضع في اعتبارك نقاط الضعف هذه عند إنشاء شهاداتك. بشكل افتراضي ، ستعرض معظم المتصفحات الحديثة تحذير "شهادة غير موثوق بها" عندما يزور شخص ما موقعك. كان هناك الكثير من الجدل حول صياغة هذه التحذيرات ، حيث يمكن أن يفاجأ المستخدمون غير التقنيين. غالبًا ما يكون من الأفضل استخدام سلطة رئيسية حتى لا يتلقى المستخدمون التحذيرات.