يمكن أن يؤدي الحصول على شهادة SSL من أي من المراجع المصدقة (CAs) الرئيسية إلى تشغيل 100 دولار وما فوق. أضف إلى هذا المزيج ، القصص الإخبارية التي يبدو أنها تشير إلى أنه لا يمكن الوثوق بجميع المراجع المصدقة (CA) التي تم إنشاؤها بنسبة 100٪ من الوقت ، وقد تقرر التحايل على حالة عدم اليقين ومحو التكلفة من خلال كونك مرجعًا مصدقًا خاصًا بك.
خطوات
جزء 1 من 4: إنشاء شهادة CA الخاصة بك
الخطوة 1. قم بإنشاء المفتاح الخاص لـ CA بإصدار الأمر التالي
-
opensl genrsa -des3 -out server. CA.key 2048
-
وأوضح الخيارات
- openssl - اسم البرنامج
- genrsa - إنشاء مفتاح خاص جديد
- -des3 - تشفير المفتاح باستخدام تشفير DES
- -out server. CA.key - اسم مفتاحك الجديد
- 2048 - الطول بالبتات للمفتاح الخاص (يرجى مراجعة التحذيرات)
- قم بتخزين هذه الشهادة وكلمة المرور في مكان آمن.
الخطوة 2. إنشاء طلب توقيع الشهادة
-
opensl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
وأوضح الخيارات:
- مطلوب - ينشئ طلب توقيع
- -إفراط - يعرض لك تفاصيل حول الطلب أثناء إنشائه (اختياري)
- -جديد - إنشاء طلب جديد
- -key server. CA.key - المفتاح الخاص الذي أنشأته للتو أعلاه.
- -out server. CA.csr - اسم ملف طلب التوقيع الذي تقوم بإنشائه
- sha256 - خوارزمية التشفير المراد استخدامها لتوقيع الطلبات (إذا كنت لا تعرف ما هو هذا ، فلا تغير هذا. يجب عليك فقط تغيير هذا إذا كنت تعرف ما تفعله)
الخطوة 3. املأ المعلومات قدر الإمكان
-
اسم البلد (رمز مكون من حرفين) [أستراليا]:
نحن
-
اسم الولاية أو المقاطعة (الاسم الكامل) [بعض الولايات]:
كاليفورنيا
-
اسم المنطقة (على سبيل المثال ، المدينة) :
وادي السيليكون
-
اسم المنظمة (على سبيل المثال ، الشركة) [Internet Widgits Pty Ltd]:
wikiHow، Inc.
- اسم الوحدة التنظيمية (على سبيل المثال ، القسم) :
-
الاسم الشائع (على سبيل المثال ، FQDN للخادم أو اسمك) :
-
عنوان البريد الإلكتروني :
الخطوة 4. قم بالتوقيع الذاتي على شهادتك:
-
opensl ca- ملحقات v3_ca -out server. CA-signed.crt -keyfile server. CA.key -verbose -selfsign -md sha256-enddate 330630235959Z -infiles server. CA.csr
-
وأوضح الخيارات:
- ca - يقوم بتحميل الوحدة النمطية للمرجع المصدق
- -extension v3_ca - يتم تحميل امتداد v3_ca ، وهو أمر لا بد منه للاستخدام في المتصفحات الحديثة
- -out server. CA -igned.crt - اسم مفتاحك الموقع الجديد
- -keyfile server. CA.key - المفتاح الخاص الذي أنشأته في الخطوة 1
- -إفراط - يعرض لك تفاصيل حول الطلب أثناء إنشائه (اختياري)
- -selfsign - يخبر openssl أنك تستخدم نفس المفتاح لتوقيع الطلب
- -md sha256 - خوارزمية التشفير المراد استخدامها للرسالة. (إذا كنت لا تعرف ما هو هذا ، فلا تغير هذا. يجب عليك فقط تغيير هذا إذا كنت تعرف ما تفعله)
- -enddate 330630235959Z - تاريخ انتهاء الشهادة. التدوين هو YYMMDDHHMMSSZ حيث يكون Z بتوقيت GMT ، يُعرف أحيانًا باسم وقت "Zulu".
- -infiles server. CA.csr - ملف طلب التوقيع الذي أنشأته في الخطوة أعلاه.
الخطوة 5. افحص شهادة CA الخاصة بك
- opensl x509-noout-text -in server. CA.crt
-
وأوضح الخيارات:
- x509 - يتم تحميل الوحدة النمطية x509 لفحص الشهادات الموقعة.
- -لاوت - لا تخرج النص المشفر
- -نص - إخراج المعلومات على الشاشة
- -in server. CA.crt - قم بتحميل الشهادة الموقعة
- يمكن توزيع ملف server. CA.crt على أي شخص سيستخدم موقع الويب الخاص بك أو يستخدم الشهادات التي تخطط للتوقيع عليها.
جزء 2 من 4: إنشاء شهادات SSL لخدمة ، مثل Apache
الخطوة 1. قم بإنشاء مفتاح خاص
-
opensl genrsa -des3 -out server.apache.key 2048
-
وأوضح الخيارات:
- openssl - اسم البرنامج
- genrsa - إنشاء مفتاح خاص جديد
- -des3 - تشفير المفتاح باستخدام تشفير DES
- -out server.apache.key - اسم مفتاحك الجديد
- 2048 - الطول بالبتات للمفتاح الخاص (يرجى مراجعة التحذيرات)
- قم بتخزين هذه الشهادة وكلمة المرور في مكان آمن.
الخطوة 2. إنشاء طلب توقيع الشهادة
-
opensl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
وأوضح الخيارات:
- مطلوب - ينشئ طلب توقيع
- -إفراط - يعرض لك تفاصيل حول الطلب أثناء إنشائه (اختياري)
- -جديد - إنشاء طلب جديد
- -key server.apache.key - المفتاح الخاص الذي أنشأته للتو أعلاه.
- -out server.apache.csr - اسم ملف طلب التوقيع الذي تقوم بإنشائه
- sha256 - خوارزمية التشفير المراد استخدامها لتوقيع الطلبات (إذا كنت لا تعرف ما هو هذا ، فلا تغير هذا. يجب عليك فقط تغيير هذا إذا كنت تعرف ما تفعله)
الخطوة الثالثة. استخدم شهادة CA الخاصة بك لتوقيع المفتاح الجديد
-
opensl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
وأوضح الخيارات:
- ca - يقوم بتحميل الوحدة النمطية للمرجع المصدق
- -out server.apache.pem - اسم الملف الشهادة الموقعة
- -keyfile server. CA.key - اسم ملف شهادة CA التي ستوقع الطلب
- -infiles server.apache.csr - اسم ملف طلب توقيع الشهادة
الخطوة 4. املأ المعلومات قدر الإمكان:
-
اسم الدولة (رمز مكون من حرفين) [أستراليا]:
نحن
-
اسم الولاية أو المقاطعة (الاسم الكامل) [بعض الولايات]:
كاليفورنيا
-
اسم المنطقة (على سبيل المثال ، المدينة) :
وادي السيليكون
-
اسم المنظمة (على سبيل المثال ، الشركة) [Internet Widgits Pty Ltd]:
wikiHow، Inc.
- اسم الوحدة التنظيمية (على سبيل المثال ، القسم) :
-
الاسم الشائع (على سبيل المثال ، FQDN للخادم أو اسمك) :
-
عنوان البريد الإلكتروني :
الخطوة 5. احفظ نسخة من مفتاحك الخاص في مكان آخر
أنشئ مفتاحًا خاصًا بدون كلمة مرور لمنع Apache من مطالبتك بكلمة مرور:
-
opensl rsa -in server.apache.key -out server.apache.unsecured.key
-
وأوضح الخيارات:
- rsa - يقوم بتشغيل برنامج تشفير RSA
- -in server.apache.key - اسم المفتاح الذي تريد تحويله.
- -out server.apache.unsecured.key - اسم ملف المفتاح غير الآمن الجديد
الخطوة 6. استخدم ملف server.apache.pem الناتج مع المفتاح الخاص الذي أنشأته في الخطوة 1 لتهيئة ملف apache2.conf
جزء 3 من 4: إنشاء شهادة مستخدم للمصادقة
الخطوة 1. اتبع جميع الخطوات الواردة في _إنشاء شهادات SSL لـ Apache_
الخطوة 2. تحويل شهادتك الموقعة إلى PKCS12
opensl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
جزء 4 من 4: إنشاء شهادات بريد إلكتروني S / MIME
الخطوة 1. قم بإنشاء مفتاح خاص
opensl genrsa -des3 -out private_email.key 2048
الخطوة 2. إنشاء طلب توقيع شهادة
opensl req-new -key private_email.key -out private_email.csr
الخطوة الثالثة. استخدم شهادة CA لتوقيع المفتاح الجديد
opensl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
الخطوة 4. تحويل الشهادة إلى PKCS12
opensl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
الخطوة 5. إنشاء شهادة مفتاح عمومي للتوزيع
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow's Public Key"
نصائح
يمكنك تنويع محتويات مفاتيح PEM بإصدار الأمر التالي: openssl x509 -noout -text -in Certificate.pem
تحذيرات
- تعتبر مفاتيح 1024 بت قديمة. تعتبر مفاتيح 2048 بت آمنة لشهادات المستخدم حتى عام 2030 ، ولكنها تعتبر غير كافية لشهادات الجذر. ضع في اعتبارك نقاط الضعف هذه عند إنشاء شهاداتك.
- بشكل افتراضي ، ستعرض معظم المتصفحات الحديثة تحذير "شهادة غير موثوق بها" عندما يزور شخص ما موقعك. كان هناك الكثير من الجدل حول صياغة هذه التحذيرات ، حيث يمكن أن يفاجأ المستخدمون غير التقنيين. غالبًا ما يكون من الأفضل استخدام سلطة رئيسية حتى لا يتلقى المستخدمون التحذيرات.
-
-