Osoita sivustosi vierailijoille, että otat heidän turvallisuutensa vakavasti luomalla oma SSL-varmenne OpenSSL: n avulla.
SSL/TLS-sertifikaatit ovat välttämättömiä verkkosovelluksesi tai palvelimesi suojaamiseksi. Vaikka useat luotettavat varmenneviranomaiset tarjoavat SSL/TLS-varmenteita maksua vastaan, on myös mahdollista luoda itse allekirjoitettu varmenne OpenSSL: n avulla. Vaikka itse allekirjoitetuilta varmenteilta puuttuu luotetun viranomaisen hyväksyntä, ne voivat silti salata verkkoliikenteesi. Joten kuinka voit käyttää OpenSSL: ää luomaan itseallekirjoitetun varmenteen verkkosivustollesi tai palvelimellesi?
Kuinka asentaa OpenSSL
OpenSSL on avoimen lähdekoodin ohjelmisto. Mutta jos sinulla ei ole ohjelmointitaustaa ja olet huolissasi rakennusprosesseista, siinä on hieman teknisiä asetuksia. Tämän välttämiseksi voit ladata OpenSSL-koodin uusimman version, joka on täysin käännetty ja valmis asennettavaksi, osoitteesta slprowebin sivusto.
Valitse tästä uusimman OpenSSL-version MSI-laajennus, joka sopii järjestelmällesi.
Harkitse esimerkiksi OpenSSL: ää osoitteessa D:\OpenSSL-Win64. Voit muuttaa tätä. Jos asennus on valmis, avaa PowerShell järjestelmänvalvojana ja siirry nimettyyn alikansioon roskakori kansioon, johon asensit OpenSSL: n. Voit tehdä tämän käyttämällä seuraavaa komentoa:
CD'D:\OpenSSL-Win64\bin'
Sinulla on nyt käyttöoikeus openssl.exe ja voi käyttää sitä miten haluaa.
Luo yksityinen avaimesi OpenSSL: n avulla
Tarvitset yksityisen avaimen itseallekirjoitetun varmenteen luomiseen. Voit luoda tämän yksityisen avaimen samaan roskakansioon kirjoittamalla seuraavan komennon PowerShellissä, kun olet avannut järjestelmänvalvojana.
openssl.exegenrsa-des3-ulosmyPrivateKey.avain 2048
Tämä komento luo 2048-bittisen, 3DES-salatun RSA-salatun avaimen OpenSSL: n kautta. OpenSSL pyytää sinua antamaan salasanan. Sinun tulisi käyttää a vahva ja mieleenpainuva salasana. Kun olet syöttänyt saman salasanan kahdesti, olet onnistuneesti luonut yksityisen RSA-avaimesi.
Löydät yksityisen RSA-avaimesi nimellä myPrivateKey.key.
Kuinka luoda CSR-tiedosto OpenSSL: llä
Luomasi yksityinen avain ei yksinään riitä. Lisäksi tarvitset CSR-tiedoston itseallekirjoitetun varmenteen tekemiseen. Luodaksesi tämän CSR-tiedoston, sinun on kirjoitettava uusi komento PowerShelliin:
openssl.exereq-Uusi-avainmyPrivateKey.avain-ulosmyCertRequest.csr
OpenSSL pyytää myös antamaasi salasanaa luodakseen yksityisen avaimen täällä. Se pyytää lisäksi laillisia ja henkilökohtaisia tietojasi. Ole varovainen syöttäessäsi nämä tiedot oikein.
Lisäksi on mahdollista tehdä kaikki toistaiseksi tehdyt toiminnot yhdellä komentorivillä. Jos käytät alla olevaa komentoa, voit luoda sekä yksityisen RSA-avaimesi että CSR-tiedoston kerralla:
openssl.exereq-Uusi- uusi avainrsa:2048-solmut-avainpoistomyPrivateKey2.avain-ulosmyCertRequest2.csr
Voit nyt nähdä tiedoston nimeltä myCertRequest.csr kyseisessä hakemistossa. Tämä luomasi CSR-tiedosto sisältää tietoja seuraavista:
- Todistuksen pyytävä laitos.
- Common Name (eli verkkotunnuksen nimi).
- Julkinen avain (salaustarkoituksiin).
Tiettyjen viranomaisten on tarkistettava ja hyväksyttävä luomasi CSR-tiedostot. Tätä varten sinun on lähetettävä CSR-tiedosto suoraan varmenneviranomaiselle tai muille välittäjälaitoksille.
Nämä viranomaiset ja välitystoimistot tutkivat, ovatko antamasi tiedot oikeita, riippuen haluamasi varmenteen luonteesta. Saatat myös joutua lähettämään joitain asiakirjoja offline-tilassa (faksi, posti jne.) todistaaksesi, ovatko tiedot oikein.
Varmenteen laatiminen varmentajan toimesta
Kun lähetät luomasi CSR-tiedoston voimassa olevalle varmenteen myöntäjälle, varmentaja allekirjoittaa tiedoston ja lähettää varmenteen pyynnön esittäneelle laitokselle tai henkilölle. Näin tehdessään varmentaja (tunnetaan myös nimellä CA) luo myös PEM-tiedoston CSR- ja RSA-tiedostoista. PEM-tiedosto on viimeinen itse allekirjoitettuun varmenteeseen vaadittava tiedosto. Nämä vaiheet varmistavat sen SSL-varmenteet pysyvät järjestettyinä, luotettavina ja turvallisina.
Voit myös luoda PEM-tiedoston itse OpenSSL: llä. Tämä voi kuitenkin muodostaa mahdollisen riskin varmenteen turvallisuudelle, koska sen aitous tai kelpoisuus ei ole selvää. Lisäksi se, että varmennettasi ei voi vahvistaa, saattaa aiheuttaa sen, että se ei toimi joissakin sovelluksissa ja ympäristöissä. Joten tässä itseallekirjoitetun varmenteen esimerkissä voimme käyttää väärennettyä PEM-tiedostoa, mutta tämä ei tietenkään ole mahdollista todellisessa käytössä.
Kuvittele nyt PEM-tiedosto nimeltä myPemKey.pem tulee viralliselta varmenneviranomaiselta. Voit käyttää seuraavaa komentoa luodaksesi PEM-tiedoston itsellesi:
opensslx509-tarv-sha256-päiviä 365 -sisäänmyCertRequest.csr-merkkiavainmyPrivateKey.avain-ulosmyPemKey.pem
Jos sinulla olisi tällainen tiedosto, komento, jota sinun tulisi käyttää itse allekirjoitetulle varmenteelle, olisi:
openssl.exex509-tarv-päiviä 365 -sisäänmyCertRequest.csr-merkkiavainmyPemKey.pem-ulosmySignedCert.cer
Tämä komento tarkoittaa, että CSR-tiedosto on allekirjoitettu yksityisellä avaimella myPemKey.pem, voimassa 365 päivää. Tämän seurauksena luot varmennetiedoston nimeltä mySignedCert.cer.
Itse allekirjoitetun varmenteen tiedot
Voit tarkistaa luomasi itseallekirjoitetun varmenteen tiedot seuraavalla komennolla:
openssl.exex509-noout-teksti-sisäänmySignedCert.cer
Tämä näyttää sinulle kaikki sertifikaatin sisältämät tiedot. On mahdollista nähdä paljon tietoja, kuten yritys- tai henkilötietoja sekä varmenteessa käytetyt algoritmit.
Entä jos varmenteen myöntäjä ei ole allekirjoittanut itse allekirjoitettuja varmenteita?
On tärkeää tarkastaa luomasi itseallekirjoitetut varmenteet ja varmistaa, että ne ovat turvallisia. Kolmannen osapuolen varmenteen toimittaja (eli CA) tekee tämän yleensä. Jos sinulla ei ole kolmannen osapuolen varmenteen myöntäjän allekirjoittamaa ja hyväksymää varmennetta ja käytät tätä hyväksymätöntä varmennetta, kohtaat turvallisuusongelmia.
Hakkerit voivat käyttää itse allekirjoitettua varmennettasi luodakseen esimerkiksi väärennetyn kopion verkkosivustosta. Näin hyökkääjä voi varastaa käyttäjien tietoja. He voivat myös saada haltuunsa käyttäjien käyttäjätunnukset, salasanat tai muut arkaluontoiset tiedot.
Käyttäjien turvallisuuden takaamiseksi verkkosivustojen ja muiden palveluiden on yleensä käytettävä varmenteita, jotka varmentaja on varmentanut. Tämä takaa, että käyttäjän tiedot ovat salattuja ja että ne muodostavat yhteyden oikeaan palvelimeen.
Itse allekirjoitettujen varmenteiden luominen Windowsissa
Kuten näet, itse allekirjoitetun varmenteen luominen Windowsissa OpenSSL: n avulla on melko yksinkertaista. Mutta muista, että tarvitset myös hyväksynnän varmenneviranomaisilta.
Kuitenkin tällaisen varmenteen tekeminen osoittaa, että otat käyttäjien turvallisuuden vakavasti, mikä tarkoittaa, että he luottavat sinuun, sivustoosi ja koko brändiisi enemmän.
