SSL-sertifikaadi hankimine mis tahes suuremalt sertifitseerimisasutuselt (CA) võib maksta $ 100 ja rohkem. Lisage segule uudislood, mis näivad viitavat sellele, et kõiki loodud CA-sid ei saa 100% ajast usaldada, ja võite otsustada ebakindlusest mööda hiilida ja kulud kustutada, olles ise sertifitseerimisasutus.
1
Genereerige oma CA privaatvõti, väljastades järgmise käsu.openssl genrsa -des3 -out server.CA.key 2048Selgitatud suvandid openssl – tarkvaragenrsa nimi – loob uue privaatvõtme-des3 – krüpteerige võti DES-i väljašifreerimisserveri abil .CA.key – teie uue võtme nimi2048 – privaatvõtme pikkus bittides (vaadake hoiatusi) Hoidke seda sertifikaati ja parooli kindlas kohas.
2
Looge sertifikaadi allkirjastamise taotlus.openssl req -verbose -new -key server.CA.key -out server.CA.csr -sha256Selgitatud valikud:req – Loob allkirjastamistaotluse – üksikasjalik – näitab üksikasjalikku teavet taotluse kohta loodud (valikuline)-new – loob uue päringuvõtme server.CA.key – privaatvõti, mille just ülal lõite.-out server.CA.csr – Loodava allkirjastamistaotluse failinimisha256 – Krüpteerimisalgoritm kasutage päringute allkirjastamiseks (kui te ei tea, mis see on, ärge muutke seda. Muutke seda ainult siis, kui teate, mida teete)
3
Täitke teavet nii palju kui võimalik.Riigi nimi (kahetäheline kood) [AU]: USA osariigi või provintsi nimi (täisnimi) [Some-State]: CALlocality nimi (nt linn) []: Silicon Valley organisatsiooni nimi (nt ettevõte) [Internet Widgits Pty Ltd]: Selgitatud, Inc.Organisatsiooniüksuse nimi (nt jaotis) []: Üldnimi (nt serveri FQDN või TEIE nimi) []: Selgitatud.com-i CA-sertifikaatE-posti aadress []: certs@ Selgitatud.com
4
Allkirjastage oma sertifikaat ise:openssl ca -extensions v3_ca -out server.CA-signed.crt -keyfile server.CA.key -verbose -selfsign -md sha256 -lõppdate 330630235959Z -infiles server.CA.csrSelgitatud valikud:ca – Laadid sertifitseerimisasutuse moodul-laiend v3_ca – laadib laienduse v3_ca, mis on tänapäevaste brauseritest väljuvate serverite jaoks kohustuslik. CA-signed.crt – Teie uue allkirjastatud võtme-võtmefaili server.CA.key – Privaatvõti mille lõite 1. sammus-sõnaline – näitab päringu üksikasju loomise ajal (valikuline)-selfsign – Teatab openssl-ile, et kasutate päringu-md allkirjastamiseks sama võtit sha256 – Sõnumi jaoks kasutatav krüpteerimisalgoritm . (Kui te ei tea, mis see on, ärge muutke seda. Muutke seda ainult siis, kui teate, mida teete)-enddate 330630235959Z – sertifikaadi lõppkuupäev. Märkus on YYMMDDHHMMSSZ, kus Z on GMT-s, mõnikord tuntud kui “Zulu” time.-infiles server.CA.csr – allkirjastamistaotluse fail, mille lõite ülaltoodud sammus.
5
Kontrollige oma CA sertifikaati.openssl x509 -noout -text -in server.CA.crtSelgitatud valikud:x509 – Laadib x509 mooduli allkirjastatud sertifikaatide kontrollimiseks.-noout – Ärge väljastage kodeeritud tekst-teksti – väljastage teave ekraanil -in server.CA.crt – laadige allkirjastatud sertifikaat. Faili server.CA.crt saab levitada kõigile, kes kasutavad teie veebisaiti või sertifikaate, mida kavatsete allkirjastada.
6
Looge privaatvõti.openssl genrsa -des3 -out server.apache.key 2048Selgitatud valikud:openssl – tarkvaragenrsa nimi – loob uue privaatvõtme-des3 – krüpteerige võti DES-i šifreerimisserveri abil.apache.key – teie uue võtme nimi2048 – privaatvõtme pikkus bittides (vaata hoiatusi) Hoidke seda sertifikaati ja parooli kindlas kohas.
7
Looge sertifikaadi allkirjastamise taotlus.openssl req -verbose -new -key server.apache.key -out server.apache.csr -sha256Selgitatud valikud:req – Loob allkirjastamistaotluse-sõnasõnaline – näitab teile taotluse üksikasju praegu loodud (valikuline)-new – loob uue päringuvõtme server.apache.key – privaatvõti, mille lõite ülalpool.-out server.apache.csr – Lootava allkirjastamistaotluse failinimisha256 – Krüpteerimisalgoritm kasutage päringute allkirjastamiseks (kui te ei tea, mis see on, ärge muutke seda. Muutke seda ainult siis, kui teate, mida teete)
8
Kasutage oma CA-sertifikaati, et allkirjastada uus võtme.openssl ca -out server.apache.pem -keyfile server.CA.key -infiles server.apache.csrSelgitatud valikud:ca – laadib sertifitseerimisasutuse mooduli välja server.apache.pem – Allkirjastatud sertifikaadi võtmefaili server.CA.key – failinimi selle CA sertifikaadi failinimi, mis allkirjastab päringu-infiles server.apache.csr – Sertifikaadi allkirjastamise taotluse failinimi
9
Täitke teave nii palju kui võimalik:Riigi nimi (kahetäheline kood) [AU]: USA osariigi või provintsi nimi (täisnimi) [Some-State]: CALlocality nimi (nt linn) []: Silicon Valley organisatsiooni nimi (nt ettevõte) [Internet Widgits Pty Ltd]: Selgitatud, Inc.Organisatsiooniüksuse nimi (nt jaotis) []: Üldnimi (nt serveri FQDN või TEIE nimi) []: Selgitatud.com-i Apache SSL-i sertifikaat []: sertifikaadid @Selgitatud.com
10
Salvestage oma privaatvõtme koopia teise asukohta. Looge privaatvõti ilma paroolita, et Apache ei küsiks teilt parooli:openssl rsa -in server.apache.key -out server.apache.unsecured.keySelgitatud valikud:rsa – Käivitab RSA krüpteerimisprogrammi serveris.apache .key – võtme nimi, mille soovite teisendada.-out server.apache.unsecured.key – uue kaitsmata võtme failinimi
11
Faili apache2.conf konfigureerimiseks kasutage saadud faili server.apache.pem koos privaatvõtmega, mille lõite 1. toimingus.
12
Järgige kõiki samme jaotises _SSL-sertifikaatide loomine Apache jaoks_.
13
Teisendage oma allkirjastatud sertifikaat PKCS12.openssl-ks pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
14
Looge privaatvõti.openssl genrsa -des3 -out private_email.key 2048
15
Looge sertifikaadi allkirjastamise taotlus Request.openssl req -new -key private_email.key -out private_email.csr
16
Kasutage oma CA-sertifikaati uue võtme alla kirjutamiseks.openssl ca -out private_email.pem -keyfile server.CA.key -infiles private_email.csr
17
Teisendage sertifikaat failiks PKCS12.openssl pkcs12 -export -in private_email.crt -inkey private_email.key -out private_email.p12
18
Looge distributsioonile avaliku võtme sertifikaat.openssl pkcs12 -export -out public_cert.p12 -in private_email.pem -clcerts -nokeys -name “Selgitatud avalik võti”