SSL certifikát a proč přejít na HTTPS
Obsah:
- Co je certifikát SSL s vlastním podpisem?
- Předpoklady
- Vytvoření certifikátu SSL s vlastním podpisem
- Vytvoření SSL certifikátu s vlastním podpisem bez výzvy
- Závěr
Tento článek vysvětluje, jak vytvořit certifikát SSL s vlastním podpisem pomocí nástroje openssl.
Co je certifikát SSL s vlastním podpisem?
Certifikát SSL s vlastním podpisem je certifikát, který je podepsán spíše osobou, která jej vytvořila, než důvěryhodnou certifikační autoritou. Certifikáty s vlastním podpisem mohou mít stejnou úroveň šifrování jako důvěryhodný certifikát SSL s certifikací CA.
Certifikáty s vlastním podpisem uznávané jako platné libovolným prohlížečem. Pokud používáte certifikát s vlastním podpisem, webový prohlížeč zobrazí upozornění návštěvníkovi, že certifikát webového serveru nelze ověřit.
Certifikáty s vlastním podpisem se většinou používají pro účely testování nebo interního použití. Ve výrobních systémech, které jsou vystaveny internetu, byste neměli používat certifikát s vlastním podpisem.
Předpoklady
Sada nástrojů openssl je vyžadována pro vygenerování certifikátu podepsaného samotným uživatelem.
Chcete-li zkontrolovat, zda je v systému Linux nainstalován balíček openssl, otevřete terminál, zadejte
openssl version
a stiskněte klávesu Enter. Pokud je balíček nainstalován, systém vytiskne verzi OpenSSL, jinak uvidíte něco jako
openssl command not found
.
Pokud balíček openssl není nainstalován ve vašem systému, můžete jej nainstalovat spuštěním následujícího příkazu:
-
Ubuntu a Debian
sudo apt install opensslCentos a Fedora
sudo yum install openssl
Vytvoření certifikátu SSL s vlastním podpisem
Chcete-li vytvořit nový certifikát SSL s vlastním podpisem, použijte příkaz
openssl req
:
openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key
Pojďme rozdělit příkaz a pochopit, co každá možnost znamená:
-
-newkey rsa:4096- Vytvoří novou žádost o certifikát a 4096bitový klíč RSA. Výchozí hodnota je 2048 bitů.-x509- Vytvoří certifikát X.509.-sha256- Použijte-sha256SHA (Secure Hash Algorithm).-days 3650- Počet dní, na které má být certifikát certifikován. 3650 je 10 let. Můžete použít libovolné kladné celé číslo.-nodes- Vytvoří klíč bez přístupového hesla.-out example.crt- Určuje název souboru, do kterého se má zapsat nově vytvořený certifikát. Můžete zadat libovolný název souboru.-keyout example.key- Určuje název souboru, do kterého se má zapsat nově vytvořený soukromý klíč. Můžete zadat libovolný název souboru.
Další informace o možnostech příkazu
openssl req
naleznete na stránce dokumentace k OpenSSL req.
Jakmile stisknete Enter, příkaz vygeneruje soukromý klíč a položí vám řadu otázek, které použije pro vygenerování certifikátu.
Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. -----
Zadejte požadované informace a stiskněte klávesu Enter.
Country Name (2 letter code):US State or Province Name (full name):Alabama Locality Name (eg, city):Montgomery Organization Name (eg, company):Linuxize Organizational Unit Name (eg, section):Marketing Common Name (eg server FQDN or YOUR name):linuxize.com Email Address:[email protected]
Certifikát a soukromý klíč budou vytvořeny na určeném místě. Pomocí příkazu ls ověřte, že byly soubory vytvořeny:
ls
example.crt example.key
A je to! Vytvořili jste nový certifikát SSL s vlastním podpisem.
Vždy je vhodné zálohovat nový certifikát a klíč do externího úložiště.
Vytvoření SSL certifikátu s vlastním podpisem bez výzvy
openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key \ -subj "/C=SI/ST=Ljubljana/L=Ljubljana/O=Security/OU=IT Department/CN=www.example.com"
Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' -----
Pole uvedená v řádku
-subj
jsou uvedena níže:
-
C=- Název země. Zkratka ISO se dvěma písmeny.ST=- název státu nebo provincie.L=- Název lokality. Název města, ve kterém se nacházíte.O=- celé jméno vaší organizace.OU=- organizační jednotka.CN=- Plně kvalifikovaný název domény.
Závěr
V této příručce jsme vám ukázali, jak vygenerovat SSL certifikát s vlastním podpisem pomocí nástroje openssl. Nyní, když máte certifikát, můžete aplikaci nakonfigurovat tak, aby ji používala.
Pokud máte nějaké dotazy, neváhejte a zanechte komentář.
bash bezpečnostní terminálDNS Attack Writer obětí vlastního stvoření
Týden poté, co uvolnil kód útoku, HD Moore se stal obětí útoku cache otravy.
Telefon s Windows Mobile je dodáván s vysokou cenou z části, protože bude odemčený, což teoreticky dává kupujícím svobodu používat je na nosné síti podle vlastního výběru a bez podpisu víceletého předplatného.
V tomto případě však kupující pravděpodobně nepoužívají telefon v žádné síti, ale v AT & T. To je proto, že telefon běží na GSM (globální systém pro mobilní komunikaci), takže AT & T a T-Mobile jsou jedinými možnostmi v USA. Kromě toho nezahrnuje schopnost běžící na bezdrátových frekvencích, které využívá síť 3G společnosti T-Mobile. Telefon mohl být spuštěn na pomalejší datové síti společnosti T-Mobile, ale mnoho datových funkcí telefonu by bylo nepoužitelné nebo alespoň neuspokojivé.
Nejlépe 3 nástroje pro vytváření GIF a editoru pro vytváření animované grafiky
Jedná se o nejlepší nástroj pro vytváření GIF a editoru pro tvorbu GIF online text do formátu GIF, vytváření GIF z videa YouTube, změna rychlosti obrazu GIF atd.