Başlıca Sertifika Yetkililerinden (CA'lar) herhangi birinden bir SSL sertifikası almak 100 ABD Doları ve üstü olabilir. Bu karışıma, yerleşik CA'ların tümüne %100 güvenilemeyeceğini gösteren haberleri ekleyin ve kendi Sertifika Yetkiliniz olarak belirsizliği atlatmaya ve maliyeti ortadan kaldırmaya karar verebilirsiniz.
adımlar
Bölüm 1/4: CA Sertifikanızı Oluşturma
Adım 1. Aşağıdaki komutu vererek CA'nızın özel anahtarını oluşturun
-
openssl genrsa -des3 -out server. CA.key 2048
-
Açıklanan seçenekler
- openssl - yazılımın adı
- genrsa - yeni bir özel anahtar oluşturur
- -des3 - DES şifresini kullanarak anahtarı şifreleyin
- -out server. CA.key - yeni anahtarınızın adı
- 2048 - özel anahtarın bit cinsinden uzunluğu (Lütfen uyarılara bakın)
- Bu sertifikayı ve parolayı güvenli bir yerde saklayın.
Adım 2. Bir sertifika imzalama isteği oluşturun
-
openssl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
Açıklanan seçenekler:
- req - Bir İmzalama İsteği oluşturur
- -verbose - oluşturulduğunda istekle ilgili ayrıntıları gösterir (isteğe bağlı)
- -new - yeni bir istek oluşturur
- -key server. CA.key - Yukarıda az önce oluşturduğunuz özel anahtar.
- -out server. CA.csr - Oluşturduğunuz imzalama isteğinin dosya adı
- sha256 - İstekleri imzalamak için kullanılacak şifreleme algoritması (Bunun ne olduğunu bilmiyorsanız değiştirmeyin. Bunu sadece ne yaptığınızı biliyorsanız değiştirmelisiniz)
Adım 3. Bilgileri mümkün olduğunca doldurun
-
Ülke Adı (2 harfli kod) [AU]:
Biz
-
Eyalet veya İl Adı (tam ad) [Bazı Eyalet]:
CA
-
Yerellik Adı (ör. şehir) :
Silikon Vadisi
-
Kuruluş Adı (ör. şirket) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Kuruluş Birimi Adı (ör. bölüm) :
-
Ortak Ad (ör. sunucu FQDN'si veya SİZİN adınız) :
-
E :
Adım 4. Sertifikanızı kendiniz imzalayın:
-
openssl ca -extensions v3_ca -out server. CA-signed.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
Açıklanan seçenekler:
- ca - Sertifika Yetkilisi modülünü yükler
- -extension v3_ca - Modern tarayıcılarda kullanılması gereken v3_ca uzantısını yükler
- -out server. CA-signed.crt - Yeni imzalı anahtarınızın adı
- -keyfile server. CA.key - 1. adımda oluşturduğunuz özel anahtar
- -verbose - oluşturulduğunda istekle ilgili ayrıntıları gösterir (isteğe bağlı)
- -selfsign - Openssl'ye isteği imzalamak için aynı anahtarı kullandığınızı söyler
- -md sha256 - Mesaj için kullanılacak şifreleme algoritması. (Bunun ne olduğunu bilmiyorsanız, bunu değiştirmeyin. Bunu ancak ne yaptığınızı biliyorsanız değiştirmelisiniz)
- -enddate 330630235959Z - Sertifikanın bitiş tarihi. Notasyon YYMMDDHHMMSSZ'dir, burada Z, GMT'dedir, bazen "Zulu" zamanı olarak bilinir.
- -infiles server. CA.csr - yukarıdaki adımı oluşturduğunuz imzalama isteği dosyası.
Adım 5. CA sertifikanızı inceleyin
- openssl x509 -noout -text -inserver. CA.crt
-
Açıklanan seçenekler:
- x509 - İmzalı sertifikaları incelemek için x509 modülünü yükler.
- -noout - Kodlanmış metnin çıktısını alma
- -text - bilgileri ekrana yazdırır
- -in server. CA.crt - İmzalı sertifikayı yükleyin
- server. CA.crt dosyası, web sitenizi kullanacak veya imzalamayı planladığınız sertifikaları kullanacak herkese dağıtılabilir.
Bölüm 2/4: Apache gibi bir Hizmet için SSL Sertifikaları Oluşturma
Adım 1. Özel bir anahtar oluşturun
-
openssl genrsa -des3 -out server.apache.key 2048
-
Açıklanan seçenekler:
- openssl - yazılımın adı
- genrsa - yeni bir özel anahtar oluşturur
- -des3 - DES şifresini kullanarak anahtarı şifreleyin
- -out server.apache.key - yeni anahtarınızın adı
- 2048 - özel anahtarın bit cinsinden uzunluğu (Lütfen uyarılara bakın)
- Bu sertifikayı ve parolayı güvenli bir yerde saklayın.
Adım 2. Bir sertifika imzalama isteği oluşturun
-
openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
Açıklanan seçenekler:
- req - Bir İmzalama İsteği oluşturur
- -verbose - oluşturulurken istekle ilgili ayrıntıları gösterir (isteğe bağlı)
- -new - yeni bir istek oluşturur
- -key server.apache.key - Yukarıda az önce oluşturduğunuz özel anahtar.
- -out server.apache.csr - Oluşturduğunuz imzalama isteğinin dosya adı
- sha256 - İstekleri imzalamak için kullanılacak şifreleme algoritması (Bunun ne olduğunu bilmiyorsanız değiştirmeyin. Bunu sadece ne yaptığınızı biliyorsanız değiştirmelisiniz)
Adım 3. Yeni anahtarı imzalamak için CA sertifikanızı kullanın
-
openssl ca -out server.apache.pem -keyfile server. CA.key -infiles server.apache.csr
-
Açıklanan seçenekler:
- ca - Sertifika Yetkilisi modülünü yükler
- -out server.apache.pem - İmzalı sertifikanın dosya adı
- -keyfile server. CA.key - İsteği imzalayacak CA sertifikasının dosya adı
- -infiles server.apache.csr - Sertifika İmzalama İsteğinin dosya adı
Adım 4. Bilgileri mümkün olduğunca doldurun:
-
Ülke Adı (2 harfli kod) [AU]:
Biz
-
Eyalet veya İl Adı (tam ad) [Bazı Eyalet]:
CA
-
Yerellik Adı (ör. şehir) :
Silikon Vadisi
-
Kuruluş Adı (ör. şirket) [Internet Widgits Pty Ltd]:
wikiHow, Inc.
- Kuruluş Birimi Adı (ör. bölüm) :
-
Ortak Ad (ör. sunucu FQDN'si veya SİZİN adınız) :
-
E :
Adım 5. Özel anahtarınızın bir kopyasını başka bir yere kaydedin
Apache'nin sizden parola istemesini önlemek için parolasız bir özel anahtar oluşturun:
-
openssl rsa -in server.apache.key -out server.apache.unsecured.key
-
Açıklanan seçenekler:
- rsa - RSA şifreleme programını çalıştırır
- -in server.apache.key - Dönüştürmek istediğiniz anahtar adı.
- -out server.apache.unsecured.key - Yeni güvenli olmayan anahtarın dosya adı
Adım 6. Apache2.conf dosyanızı yapılandırmak için 1. adımda oluşturduğunuz özel anahtarla birlikte ortaya çıkan server.apache.pem dosyasını kullanın
Bölüm 3/4: Kimlik Doğrulama için Kullanıcı Sertifikası Oluşturma
Adım 1. _Apache için SSL Sertifikaları Oluşturma_ bölümündeki tüm adımları izleyin
Adım 2. İmzalı sertifikanızı bir PKCS12'ye dönüştürün
openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
Bölüm 4/4: S/MIME E-posta Sertifikaları Oluşturma
Adım 1. Özel bir anahtar oluşturun
openssl genrsa -des3 -out private_email.key 2048
Adım 2. Bir Sertifika İmzalama Talebi oluşturun
openssl req -new -key private_email.key -out private_email.csr
Adım 3. Yeni anahtarı imzalamak için CA sertifikanızı kullanın
openssl ca -out private_email.pem -keyfile server. CA.key -infiles private_email.csr
Adım 4. Sertifikayı PKCS12'ye dönüştürün
openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
Adım 5. Dağıtım için bir Ortak Anahtar sertifikası oluşturun
openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name "WikiHow'un Genel Anahtarı"
İpuçları
Aşağıdaki komutu vererek PEM anahtarlarının içeriğini değiştirebilirsiniz: openssl x509 -noout -text -in Certificate.pem
Uyarılar
- 1024 bitlik anahtarların eski olduğu kabul edilir. 2048 bitlik anahtarlar, 2030 yılına kadar kullanıcı sertifikaları için güvenli kabul edilir, ancak kök sertifikalar için yetersiz kabul edilir. Sertifikalarınızı oluştururken bu güvenlik açıklarını göz önünde bulundurun.
- Varsayılan olarak, çoğu modern tarayıcı, biri sitenizi ziyaret ettiğinde bir "Güvenilmeyen sertifika" uyarısı gösterir. Teknik bilgisi olmayan kullanıcılar hazırlıksız yakalanabileceğinden, bu uyarıların ifadeleri üzerinde çok fazla tartışma olmuştur. Kullanıcıların uyarıları almaması için büyük bir otorite kullanmak genellikle en iyisidir.