הראה למבקרים באתר שלך שאתה לוקח את האבטחה שלהם ברצינות על ידי יצירת אישור SSL משלך באמצעות OpenSSL.

אישורי SSL/TLS חיוניים לאבטחת יישום האינטרנט או השרת שלך. בעוד שמספר רשויות אישורים אמינות מספקות תעודות SSL/TLS תמורת עלות, אפשר גם להפיק אישור בחתימה עצמית באמצעות OpenSSL. למרות שלאישורים בחתימה עצמית אין אישור של רשות מהימנה, הם עדיין יכולים להצפין את תעבורת האינטרנט שלך. אז איך אתה יכול להשתמש ב-OpenSSL כדי ליצור אישור בחתימה עצמית לאתר או לשרת שלך?

כיצד להתקין OpenSSL

OpenSSL היא תוכנת קוד פתוח. אבל אם אין לך רקע תכנותי ואתה מודאג מתהליכי בנייה, יש לזה קצת הגדרה טכנית. כדי להימנע מכך, אתה יכול להוריד את הגרסה העדכנית ביותר של הקוד של OpenSSL, קומפילציה מלאה ומוכנה להתקנה, מ- האתר של slproweb.

כאן, בחר את סיומת MSI של גרסת OpenSSL העדכנית ביותר המתאימה למערכת שלך.

כדוגמה, שקול את OpenSSL ב D:\OpenSSL-Win64. אתה יכול לשנות את זה. אם ההתקנה הושלמה, פתח את PowerShell כמנהל ונווט לתיקיית המשנה ששמה פַּח בתיקייה שבה התקנת את OpenSSL. כדי לעשות זאת, השתמש בפקודה הבאה:

CD'D:\OpenSSL-Win64\bin'
instagram viewer

כעת יש לך גישה ל openssl.exe ויכול להפעיל אותו איך שאתה רוצה.

צור את המפתח הפרטי שלך עם OpenSSL

תזדקק למפתח פרטי כדי ליצור תעודה בחתימה עצמית. באותה תיקיית bin, אתה יכול ליצור מפתח פרטי זה על ידי הזנת הפקודה הבאה ב- PowerShell לאחר פתיחת כמנהל.

openssl.exeז'נרסה-des3-הַחוּצָהmyPrivateKey.מַפְתֵחַ 2048

פקודה זו תיצור מפתח RSA פרטי באורך 2048 סיביות מוצפן 3DES באמצעות OpenSSL. OpenSSL יבקש ממך להזין סיסמה. כדאי להשתמש ב- a סיסמה חזקה ובלתי נשכחת. לאחר הזנת אותה סיסמה פעמיים, תיצור בהצלחה את מפתח ה-RSA הפרטי שלך.

אתה יכול למצוא את מפתח ה-RSA הפרטי שלך עם השם myPrivateKey.key.

כיצד ליצור קובץ CSR עם OpenSSL

המפתח הפרטי שתיצור לא יספיק בפני עצמו. בנוסף, אתה צריך קובץ CSR כדי ליצור תעודה בחתימה עצמית. כדי ליצור קובץ CSR זה, עליך להזין פקודה חדשה ב- PowerShell:

openssl.exereq-חָדָשׁ-מַפְתֵחַmyPrivateKey.מַפְתֵחַ-הַחוּצָהmyCertRequest.csr

OpenSSL גם יבקש את הסיסמה שהזנת כדי ליצור את המפתח הפרטי כאן. זה יבקש עוד יותר את המידע המשפטי והאישי שלך. היזהר שאתה מזין מידע זה נכון.

בנוסף, ניתן לבצע את כל הפעולות עד כה בשורת פקודה אחת. אם אתה משתמש בפקודה למטה, אתה יכול ליצור גם את מפתח ה-RSA הפרטי שלך וגם את קובץ ה-CSR בבת אחת:

openssl.exereq-חָדָשׁ-מפתח חדשrsa:2048-צמתים-מפתחותmyPrivateKey2.מַפְתֵחַ-הַחוּצָהmyCertRequest2.csr

כעת תוכל לראות את הקובץ בשם myCertRequest.csr בספרייה הרלוונטית. קובץ CSR זה שאתה יוצר מכיל מידע על:

  • המוסד המבקש את האישור.
  • שם נפוץ (כלומר שם דומיין).
  • מפתח ציבורי (למטרות הצפנה).

קבצי CSR שאתה יוצר צריכים להיבדק ולאישור על ידי רשויות מסוימות. לשם כך, עליך לשלוח את קובץ ה-CSR ישירות לרשות האישורים או למוסדות מתווכים אחרים.

רשויות ובתי תיווך אלו בודקים האם המידע שאתה מוסר נכון, בהתאם לאופי האישור הרצוי. ייתכן שתצטרך לשלוח כמה מסמכים במצב לא מקוון (פקס, דואר וכו') כדי להוכיח אם המידע נכון.

הכנת תעודה על ידי רשות אישורים

כאשר אתה שולח את קובץ ה-CSR שיצרת לרשות אישורים תקפה, רשות האישורים חותמת על הקובץ ושולחת את האישור למוסד או לאדם המבקשים. בתוך כך, רשות האישורים (הידועה גם כ-CA) יוצרת גם קובץ PEM מקבצי ה-CSR וה-RSA. קובץ PEM הוא הקובץ האחרון הנדרש לאישור בחתימה עצמית. השלבים הללו מבטיחים זאת תעודות SSL נשארות מסודרות, אמינות ומאובטחות.

אתה יכול גם ליצור קובץ PEM בעצמך עם OpenSSL. עם זאת, זה יכול להוות סיכון פוטנציאלי לאבטחת התעודה שלך מכיוון שהאותנטיות או התוקף של האחרון אינם ברורים. כמו כן, העובדה שהאישור שלך אינו ניתן לאימות עלולה לגרום לו לא לעבוד ביישומים וסביבות מסוימות. אז עבור הדוגמה הזו של תעודה בחתימה עצמית, אנחנו יכולים להשתמש בקובץ PEM מזויף, אבל, כמובן, זה לא אפשרי בשימוש בעולם האמיתי.

לעת עתה, דמיינו קובץ PEM בשם myPemKey.pem מגיע מרשות אישורים רשמית. אתה יכול להשתמש בפקודה הבאה כדי ליצור לעצמך קובץ PEM:

opensslx509-דרישה-sha256-ימים 365 myCertRequest.csr-מפתחmyPrivateKey.מַפְתֵחַ-הַחוּצָהmyPemKey.pem

אם היה לך קובץ כזה, הפקודה שבה עליך להשתמש עבור האישור החתום בעצמך תהיה:

openssl.exex509-דרישה-ימים 365 myCertRequest.csr-מפתחmyPemKey.pem-הַחוּצָהmySelfSignedCert.cer

פקודה זו פירושה שקובץ ה-CSR חתום עם מפתח פרטי בשם myPemKey.pem, תקף ל-365 ימים. כתוצאה מכך, אתה יוצר קובץ אישור בשם mySelfSignedCert.cer.

מידע על תעודה בחתימה עצמית

אתה יכול להשתמש בפקודה הבאה כדי לבדוק את המידע על האישור בחתימה עצמית שיצרת:

openssl.exex509-נואוט-טֶקסטmySelfSignedCert.cer

זה יראה לך את כל המידע הכלול בתעודה. אפשר לראות מידע רב כמו החברה או מידע אישי, ואלגוריתמים המשמשים בתעודה.

מה אם אישורים בחתימה עצמית אינם חתומים על ידי רשות האישורים?

חיוני לבדוק את האישורים החתומים בעצמך שאתה יוצר ולאשר שהם מאובטחים. ספק אישורים של צד שלישי (כלומר CA) בדרך כלל עושה זאת. אם אין לך תעודה חתומה ומאושרת על ידי רשות אישורים של צד שלישי, ואתה משתמש באישור לא מאושר זה, תתקל בבעיות אבטחה מסוימות.

האקרים יכולים להשתמש באישור החתום בעצמך כדי ליצור עותק מזויף של אתר, למשל. זה מאפשר לתוקף לגנוב מידע של משתמשים. הם יכולים גם להשיג את שמות המשתמש, הסיסמאות או מידע רגיש אחר של המשתמשים שלך.

כדי להבטיח את אבטחת המשתמשים, אתרי אינטרנט ושירותים אחרים צריכים בדרך כלל להשתמש בתעודות המאושרות בפועל על ידי CA. זה מספק ביטחון שהנתונים של המשתמש מוצפנים ומתחברים לשרת הנכון.

יצירת אישורים בחתימה עצמית ב-Windows

כפי שאתה יכול לראות, יצירת אישור בחתימה עצמית ב-Windows עם OpenSSL היא די פשוטה. אך זכור כי תצטרך גם אישור מרשויות האישורים.

עם זאת, ביצוע תעודה כזו מראה שאתה לוקח את אבטחת המשתמשים ברצינות, כלומר הם יבטחו בך, באתר שלך ובמותג הכללי שלך יותר.