Ottenere un certificato SSL da una delle principali autorità di certificazione (CA) può costare $ 100 in su. Aggiungi al mix, notizie che sembrano indicare che non tutte le CA stabilite possono essere attendibili il 100% delle volte e potresti decidere di aggirare l'incertezza e cancellare il costo essendo la tua autorità di certificazione.
Passi
Parte 1 di 4: creazione del certificato CA
Passaggio 1. Genera la chiave privata della tua CA emettendo il seguente comando
-
openssl genrsa -des3 -out server. CA.key 2048
-
Le opzioni spiegate
- openssl - il nome del software
- genrsa - crea una nuova chiave privata
- -des3 - crittografa la chiave usando il cifrario DES
- -out server. CA.key - il nome della tua nuova chiave
- 2048 - la lunghezza, in bit, della chiave privata (vedi gli avvisi)
- Conserva questo certificato e la password in un luogo sicuro.
Passaggio 2. Creare una richiesta di firma del certificato
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Le opzioni spiegate:
- req - Crea una richiesta di firma
- -verbose - mostra i dettagli sulla richiesta mentre viene creata (opzionale)
- -new - crea una nuova richiesta
- -key server. CA.key - La chiave privata appena creata sopra.
- -out server. CA.csr - Il nome del file della richiesta di firma che stai creando
- sha256 - L'algoritmo di crittografia da utilizzare per firmare le richieste (Se non sai di cosa si tratta, non cambiarlo. Dovresti cambiarlo solo se sai cosa stai facendo)
Passaggio 3. Compila le informazioni il più possibile
-
Nome del paese (codice di 2 lettere) [AU]:
noi
-
Nome dello stato o della provincia (nome completo) [Some-State]:
circa
-
Nome località (ad es. città) :
Silicon Valley
-
Nome dell'organizzazione (ad es. azienda) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Nome dell'unità organizzativa (ad es. sezione) :
-
Nome comune (ad es. FQDN del server o il TUO nome) :
-
Indirizzo email :
Passaggio 4. Autofirma il tuo certificato:
-
openssl ca -extensions v3_ca -out server. CA-signed.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Le opzioni spiegate:
- ca - Carica il modulo Autorità di certificazione
- -extension v3_ca - Carica l'estensione v3_ca, un must per l'utilizzo sui browser moderni
- -out server. CA-signed.crt - Il nome della tua nuova chiave firmata
- -keyfile server. CA.key - La chiave privata creata nel passaggio 1
- -verbose - mostra i dettagli sulla richiesta mentre viene creata (opzionale)
- -selfsign - Dice ad openssl che stai usando la stessa chiave per firmare la richiesta
- -md sha256 - L'algoritmo di crittografia da utilizzare per il messaggio. (Se non sai cos'è, non cambiarlo. Dovresti cambiarlo solo se sai cosa stai facendo)
- -enddate 330630235959Z - La data di fine del certificato. La notazione è YYMMDDHHMMSSZ dove Z è in GMT, noto anche come ora "Zulu".
- -infiles server. CA.csr: il file di richiesta di firma creato nel passaggio precedente.
Passaggio 5. Ispezionare il certificato CA
- openssl x509 -noout -text -in server. CA.crt
-
Le opzioni spiegate:
- x509 - Carica il modulo x509 per controllare i certificati firmati.
- -noout - Non emette il testo codificato
- -text - visualizza le informazioni sullo schermo
- -in server. CA.crt - Carica il certificato firmato
- Il file server. CA.crt può essere distribuito a chiunque utilizzerà il tuo sito Web o utilizzerà i certificati che prevedi di firmare.
Parte 2 di 4: creazione di certificati SSL per un servizio, come Apache
Passaggio 1. Crea una chiave privata
-
openssl genrsa -des3 -out server.apache.key 2048
-
Le opzioni spiegate:
- openssl - il nome del software
- genrsa - crea una nuova chiave privata
- -des3 - crittografa la chiave usando il cifrario DES
- -out server.apache.key - il nome della tua nuova chiave
- 2048 - la lunghezza, in bit, della chiave privata (vedi gli avvisi)
- Conserva questo certificato e la password in un luogo sicuro.
Passaggio 2. Creare una richiesta di firma del certificato
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Le opzioni spiegate:
- req - Crea una richiesta di firma
- -verbose - mostra i dettagli sulla richiesta mentre viene creata (opzionale)
- -new - crea una nuova richiesta
- -key server.apache.key - La chiave privata che hai appena creato sopra.
- -out server.apache.csr - Il nome del file della richiesta di firma che stai creando
- sha256 - L'algoritmo di crittografia da utilizzare per firmare le richieste (Se non sai di cosa si tratta, non cambiarlo. Dovresti cambiarlo solo se sai cosa stai facendo)
Passaggio 3. Utilizzare il certificato CA per firmare la nuova chiave
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Le opzioni spiegate:
- ca - Carica il modulo Autorità di certificazione
- -out server.apache.pem - Il nome del file il certificato firmato
- -keyfile server. CA.key - Il nome del file del certificato CA che firmerà la richiesta
- -infiles server.apache.csr - Il nome del file della richiesta di firma del certificato
Passaggio 4. Compila le informazioni il più possibile:
-
Nome del paese (codice di 2 lettere) [AU]:
noi
-
Nome dello stato o della provincia (nome completo) [Some-State]:
circa
-
Nome località (ad es. città) :
Silicon Valley
-
Nome dell'organizzazione (ad es. azienda) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Nome dell'unità organizzativa (ad es. sezione) :
-
Nome comune (ad es. FQDN del server o il TUO nome) :
-
Indirizzo email :
Passaggio 5. Salva una copia della tua chiave privata in un'altra posizione
Crea una chiave privata senza password per evitare che Apache ti chieda una password:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Le opzioni spiegate:
- rsa - Esegue il programma di crittografia RSA
- -in server.apache.key - Il nome della chiave che si desidera convertire.
- -out server.apache.unsecured.key - Il nome del file della nuova chiave non protetta
Passaggio 6. Utilizzare il file server.apache.pem risultante insieme alla chiave privata generata nel passaggio 1 per configurare il file apache2.conf
Parte 3 di 4: creazione di un certificato utente per l'autenticazione
Passaggio 1. Seguire tutti i passaggi in _Creazione di certificati SSL per Apache_
Passaggio 2. Converti il tuo certificato firmato in un PKCS12
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
Parte 4 di 4: creazione di certificati di posta elettronica S/MIME
Passaggio 1. Crea una chiave privata
openssl genrsa -des3 -out private_email.key 2048
Passaggio 2. Creare una richiesta di firma del certificato
openssl req -new -key private_email.key -out private_email.csr
Passaggio 3. Utilizzare il certificato CA per firmare la nuova chiave
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Passaggio 4. Converti il certificato in PKCS12
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Passaggio 5. Creare un certificato di chiave pubblica per la distribuzione
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "Chiave pubblica di WikiHow"
Suggerimenti
Puoi variare il contenuto delle chiavi PEM emettendo il seguente comando: openssl x509 -noout -text -in certificate.pem
Avvertenze
- Le chiavi a 1024 bit sono considerate obsolete. Le chiavi a 2048 bit sono considerate sicure per i certificati utente fino al 2030, ma sono considerate insufficienti per i certificati radice. Considera queste vulnerabilità mentre crei i tuoi certificati.
- Per impostazione predefinita, la maggior parte dei browser moderni mostrerà un avviso "Certificato non attendibile" quando qualcuno visita il tuo sito. Si è discusso molto sulla formulazione di questi avvertimenti, poiché gli utenti non tecnici possono essere colti alla sprovvista. Spesso è meglio utilizzare un'autorità principale in modo che gli utenti non ricevano gli avvisi.
