สร้างตัวเอง

บทความนี้อธิบายวิธีการสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองโดยใช้เครื่องมือ openssl

ใบรับรอง SSL ที่ลงชื่อด้วยตนเองคืออะไร

ใบรับรอง SSL ที่ลงนามเองคือใบรับรองที่ลงชื่อโดยบุคคลที่สร้างขึ้นแทนที่จะเป็นผู้ออกใบรับรองที่เชื่อถือได้ ใบรับรองที่ลงนามเองสามารถมีการเข้ารหัสในระดับเดียวกับใบรับรอง SSL ที่ลงนามโดย CA ที่เชื่อถือได้

ใบรับรองที่ลงนามเองซึ่งยอมรับว่าใช้ได้กับเบราว์เซอร์ใด ๆ หากคุณใช้ใบรับรองที่ลงชื่อด้วยตนเองเว็บเบราว์เซอร์จะแสดงคำเตือนแก่ผู้เยี่ยมชมว่าไม่สามารถยืนยันใบรับรองเว็บไซต์ได้

ใบรับรองที่ลงนามเองส่วนใหญ่จะใช้เพื่อการทดสอบหรือการใช้งานภายใน คุณไม่ควรใช้ใบรับรองแบบลงนามด้วยตนเองในระบบการผลิตที่เปิดเผยต่ออินเทอร์เน็ต

ข้อกำหนดเบื้องต้น

ต้องใช้ชุดเครื่องมือ openssl เพื่อสร้างใบรับรองที่ลงนามเอง

ในการตรวจสอบว่าแพ็คเกจ openssl ได้รับการติดตั้งบนระบบ Linux หรือไม่ให้เปิดเทอร์มินัลของคุณพิมพ์ openssl version แล้วกด Enter หากมีการติดตั้งแพคเกจระบบจะพิมพ์เวอร์ชัน OpenSSL มิฉะนั้นคุณจะเห็นสิ่งที่ต้องการ openssl command not found

หากแพ็คเกจ openssl ไม่ได้ติดตั้งไว้ในระบบของคุณคุณสามารถติดตั้งได้โดยใช้คำสั่งต่อไปนี้:

• Ubuntu และ Debian

  sudo apt install openssl

  Centos และ Fedora

  sudo yum install openssl

การสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเอง

ในการสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองใหม่ให้ใช้คำสั่ง openssl req :

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key

ลองแบ่งคำสั่งและเข้าใจความหมายของแต่ละตัวเลือก:

• -newkey rsa:4096 - สร้างการร้องขอใบรับรองใหม่และคีย์ RSA 4096 บิต ค่าเริ่มต้นคือ 2048 บิต -x509 - สร้างใบรับรอง X.509 -sha256 - ใช้ SHA 265 บิต (อัลกอริทึมแฮชที่ปลอดภัย) -days 3650 - จำนวนวันในการรับรองใบรับรองสำหรับ 3650 คือ 10 ปี คุณสามารถใช้จำนวนเต็มบวกใด ๆ -nodes - สร้างคีย์โดยไม่มีข้อความรหัสผ่าน -out example.crt - ระบุชื่อไฟล์เพื่อเขียนใบรับรองที่สร้างขึ้นใหม่ คุณสามารถระบุชื่อไฟล์ใด ๆ -keyout example.key - ระบุชื่อไฟล์เพื่อเขียนคีย์ส่วนตัวที่สร้างขึ้นใหม่ คุณสามารถระบุชื่อไฟล์ใด ๆ

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกคำสั่ง openssl req โปรดไปที่หน้าเอกสารประกอบของ OpenSSL req

เมื่อคุณกด Enter คำสั่งจะสร้างคีย์ส่วนตัวและถามชุดคำถามที่จะใช้ในการสร้างใบรับรอง

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. -----

ป้อนข้อมูลที่ต้องการและกด Enter

Country Name (2 letter code):US State or Province Name (full name):Alabama Locality Name (eg, city):Montgomery Organization Name (eg, company):Linuxize Organizational Unit Name (eg, section):Marketing Common Name (eg server FQDN or YOUR name):linuxize.com Email Address:[email protected]

ใบรับรองและรหัสส่วนตัวจะถูกสร้างขึ้นในตำแหน่งที่ระบุ ใช้คำสั่ง ls เพื่อตรวจสอบว่าไฟล์ถูกสร้างขึ้น:

ls

example.crt example.key

แค่นั้นแหละ! คุณสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองใหม่แล้ว

เป็นความคิดที่ดีที่จะสำรองข้อมูลใบรับรองใหม่และกุญแจไปยังที่จัดเก็บข้อมูลภายนอก

การสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองโดยไม่ต้องแจ้ง

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key \ -subj "/C=SI/ST=Ljubljana/L=Ljubljana/O=Security/OU=IT Department/CN=www.example.com"

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' -----

ฟิลด์ที่ระบุในบรรทัด -subj อยู่ด้านล่าง:

• C= - ชื่อประเทศ ตัวย่อ ISO สองตัวอักษร ST= - ชื่อรัฐหรือจังหวัด L= - ชื่อท้องถิ่น ชื่อเมืองที่คุณอยู่ O= - ชื่อเต็มขององค์กรของคุณ OU= - หน่วยองค์กร CN= - ชื่อโดเมนแบบเต็ม

ข้อสรุป

ในคู่มือนี้เราได้แสดงวิธีสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองโดยใช้เครื่องมือ openssl ตอนนี้คุณมีใบรับรองแล้วคุณสามารถกำหนดค่าแอปพลิเคชันของคุณเพื่อใช้งานได้

อย่าลังเลที่จะแสดงความคิดเห็นหากคุณมีคำถามใด ๆ

ทุบตีสถานีรักษาความปลอดภัย