כיצד ליצור אישור בחתימה עצמית עם OpenSSL

כיצד ליצור אישור בחתימה עצמית עם OpenSSL
קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

אישורי SSL/TLS חיוניים לאבטחת יישום האינטרנט או השרת שלך. בעוד שמספר רשויות אישורים אמינות מספקות תעודות SSL/TLS תמורת עלות, אפשר גם להפיק אישור בחתימה עצמית באמצעות OpenSSL. למרות שלאישורים בחתימה עצמית אין אישור של רשות מהימנה, הם עדיין יכולים להצפין את תעבורת האינטרנט שלך. אז איך אתה יכול להשתמש ב-OpenSSL כדי ליצור אישור בחתימה עצמית לאתר או לשרת שלך?





איפור של סרטון היום גלול כדי להמשיך עם התוכן

כיצד להתקין OpenSSL

OpenSSL היא תוכנת קוד פתוח. אבל אם אין לך רקע תכנותי ואתה מודאג מתהליכי בנייה, יש לזה קצת הגדרה טכנית. כדי להימנע מכך, אתה יכול להוריד את הגרסה העדכנית ביותר של הקוד של OpenSSL, קומפילציה מלאה ומוכנה להתקנה, מ- האתר של slproweb .



כאן, בחר את סיומת MSI של גרסת OpenSSL העדכנית ביותר המתאימה למערכת שלך.





צילום מסך מאתר slproweb להורדה של OpenSSL

כדוגמה, שקול את OpenSSL ב D:\OpenSSL-Win64 . אתה יכול לשנות את זה. אם ההתקנה הושלמה, פתח את PowerShell כמנהל ונווט לתיקיית המשנה בשם פַּח בתיקייה שבה התקנת את OpenSSL. כדי לעשות זאת, השתמש בפקודה הבאה:

 cd 'D:\OpenSSL-Win64\bin'

כעת יש לך גישה ל openssl.exe ויכול להפעיל אותו איך שאתה רוצה.



הפעלת פקודת הגרסה כדי לראות אם openssl מותקן

צור את המפתח הפרטי שלך עם OpenSSL

תזדקק למפתח פרטי כדי ליצור תעודה בחתימה עצמית. באותה תיקיית bin, אתה יכול ליצור מפתח פרטי זה על ידי הזנת הפקודה הבאה ב- PowerShell לאחר פתיחת כמנהל.

דברים מגניבים לעשות עם טרמינל 
 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

פקודה זו תיצור מפתח RSA פרטי באורך 2048 סיביות מוצפן 3DES באמצעות OpenSSL. OpenSSL יבקש ממך להזין סיסמה. כדאי להשתמש ב- a סיסמה חזקה ובלתי נשכחת . לאחר הזנת אותה סיסמה פעמיים, תיצור בהצלחה את מפתח ה-RSA הפרטי שלך.



פלט של הפקודה המשמשת ליצירת מפתח RSA

אתה יכול למצוא את מפתח ה-RSA הפרטי שלך עם השם myPrivateKey.key .

כיצד ליצור קובץ CSR עם OpenSSL

המפתח הפרטי שתיצור לא יספיק בפני עצמו. בנוסף, אתה צריך קובץ CSR כדי ליצור תעודה בחתימה עצמית. כדי ליצור קובץ CSR זה, עליך להזין פקודה חדשה ב- PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL גם יבקש את הסיסמה שהזנת כדי ליצור את המפתח הפרטי כאן. זה יבקש עוד יותר את המידע המשפטי והאישי שלך. היזהר שאתה מזין מידע זה נכון.

פלט של הפקודה המשמשת ליצירת קובץ ה-CSR

בנוסף, ניתן לבצע את כל הפעולות עד כה בשורת פקודה אחת. אם אתה משתמש בפקודה למטה, אתה יכול ליצור גם את מפתח ה-RSA הפרטי שלך וגם את קובץ ה-CSR בבת אחת:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
פלט הפקודה המשמש ליצירת קבצי RSA ו-CSR במכה אחת

כעת תוכל לראות את הקובץ בשם myCertRequest.csr בספרייה הרלוונטית. קובץ CSR זה שאתה יוצר מכיל מידע על:

  • המוסד המבקש את האישור.
  • שם נפוץ (כלומר שם דומיין).
  • מפתח ציבורי (למטרות הצפנה).

קבצי CSR שאתה יוצר צריכים להיבדק ולאישור על ידי רשויות מסוימות. לשם כך, עליך לשלוח את קובץ ה-CSR ישירות לרשות האישורים או למוסדות מתווכים אחרים.

רשויות ובתי תיווך אלו בודקים האם המידע שאתה מוסר נכון, בהתאם לאופי האישור הרצוי. ייתכן שתצטרך לשלוח כמה מסמכים במצב לא מקוון (פקס, דואר וכו') כדי להוכיח אם המידע נכון.

הכנת תעודה על ידי רשות אישורים

כאשר אתה שולח את קובץ ה-CSR שיצרת לרשות אישורים תקפה, רשות האישורים חותמת על הקובץ ושולחת את האישור למוסד או לאדם המבקשים. בתוך כך, רשות האישורים (הידועה גם כ-CA) יוצרת גם קובץ PEM מקבצי ה-CSR וה-RSA. קובץ PEM הוא הקובץ האחרון הנדרש לאישור בחתימה עצמית. השלבים הללו מבטיחים זאת תעודות SSL נשארות מסודרות, אמינות ומאובטחות .

אתה יכול גם ליצור קובץ PEM בעצמך עם OpenSSL. עם זאת, זה יכול להוות סיכון פוטנציאלי לאבטחת התעודה שלך מכיוון שהאותנטיות או התוקף של האחרון אינם ברורים. כמו כן, העובדה שהאישור שלך אינו ניתן לאימות עלולה לגרום לו לא לעבוד ביישומים וסביבות מסוימות. אז עבור הדוגמה הזו של תעודה בחתימה עצמית, אנחנו יכולים להשתמש בקובץ PEM מזויף, אבל, כמובן, זה לא אפשרי בשימוש בעולם האמיתי.

כיצד להשיג לינוקס בכרומבוק

לעת עתה, דמיינו קובץ PEM בשם myPemKey.pem מגיע מרשות אישורים רשמית. אתה יכול להשתמש בפקודה הבאה כדי ליצור לעצמך קובץ PEM:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

אם היה לך קובץ כזה, הפקודה שבה עליך להשתמש עבור האישור החתום בעצמך תהיה:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

פקודה זו פירושה שקובץ ה-CSR חתום עם מפתח פרטי בשם myPemKey.pem , תקף ל-365 ימים. כתוצאה מכך, אתה יוצר קובץ אישור בשם mySelfSignedCert.cer .

תמונה שהתעודה בחתימה עצמית קיימת בתיקייה

מידע על תעודה בחתימה עצמית

אתה יכול להשתמש בפקודה הבאה כדי לבדוק את המידע על האישור בחתימה עצמית שיצרת:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

זה יראה לך את כל המידע הכלול בתעודה. אפשר לראות מידע רב כמו החברה או מידע אישי, ואלגוריתמים המשמשים בתעודה.

כיצד ניתן ליצור מסנן Snapchat

מה אם אישורים בחתימה עצמית אינם חתומים על ידי רשות האישורים?

חיוני לבדוק את האישורים החתומים בעצמך שאתה יוצר ולאשר שהם מאובטחים. ספק אישורים של צד שלישי (כלומר CA) בדרך כלל עושה זאת. אם אין לך אישור חתום ומאושר על ידי רשות אישורים של צד שלישי, ואתה משתמש באישור לא מאושר זה, תתקל בבעיות אבטחה מסוימות.

האקרים יכולים להשתמש באישור החתום בעצמך כדי ליצור עותק מזויף של אתר, למשל. זה מאפשר לתוקף לגנוב מידע של משתמשים. הם יכולים גם להשיג את שמות המשתמש, הסיסמאות או מידע רגיש אחר של המשתמשים שלך.

כדי להבטיח את אבטחת המשתמשים, אתרי אינטרנט ושירותים אחרים צריכים בדרך כלל להשתמש בתעודות המאושרות בפועל על ידי CA. זה מספק ביטחון שהנתונים של המשתמש מוצפנים ומתחברים לשרת הנכון.

יצירת אישורים בחתימה עצמית ב-Windows

כפי שאתה יכול לראות, יצירת אישור בחתימה עצמית ב-Windows עם OpenSSL היא די פשוטה. אך זכור כי תצטרך גם אישור מרשויות האישורים.

עם זאת, ביצוע אישור כזה מראה שאתה לוקח את אבטחת המשתמשים ברצינות, כלומר הם יבטחו בך, באתר שלך ובמותג הכללי שלך יותר.