Comment être votre propre autorité de certification

Comment être votre propre autorité de certification

Quatre parties:Création de votre certificat CACréation de certificats SSL pour un service, comme ApacheCréation d'un certificat pour l'authentification de l'utilisateurCréation S / MIME E-mail Certificats

Obtenir un certificat SSL de l'un des principaux autorités de certification (CA) peut parcourir 100 $ et plus. Ajouter au mélange, des reportages qui semblent indiquer que toutes les autorités de certification établis peut faire confiance à 100% du temps et vous pourriez décider de contourner l'incertitude et d'effacer le coût en étant votre propre autorité de certification.

Partie 1 de 4: Création de votre certificat CA
1
Générer clé privée de votre CA en exécutant la commande suivante:
  • openssl genrsa -des3 départ privé server.CA.key 2048
  • Les options expliquées:
  • openssl - le nom du logiciel
  • genrsa - crée une nouvelle clé privée
  • -des3 - crypter la clé utilisant le chiffrement DES
  • -sur server.CA.key - le nom de votre nouvelle clé
  • 2048 - la longueur, en bits, de la clé privée (Se il vous plaît voir les avertissements)
  • Conservez ce certificat et le mot de passe dans un endroit sûr.
  • 2
    Créer une demande de signature de certificat:
    • openssl req -new -verbose touche server.CA.key départ privé server.CA.csr -sha256
    • Les options expliquées:
  • req - Crée une demande de signature
  • -verbose - vous montre des détails sur la demande comme il est en cours de création (facultatif)
  • -nouvelle - crée une nouvelle demande
  • -server.CA.key clé - La clé privée que vous venez de créer ci-dessus.
  • -sur server.CA.csr - Le nom du fichier de la demande de signature que vous créez
  • sha256 - L'algorithme de chiffrement à utiliser pour les demandes de signature (. Si vous ne savez pas ce que ce est, ne changez pas cette Vous ne devriez changer cela si vous savez ce que vous faites)
  • 3
    Remplissez les informations autant que possible:
    • Nom Pays (2 Code de lettre) [UA]: États-Unis
    • État ou province Nom (nom complet) [Certains-État]: Californie
    • Localité Nom (par exemple, ville) []: Silicon Valley
    • Nom de l'organisme (par exemple, entreprise) [Internet Widgits Pty Ltd]: wikiHow, Inc.
    • Unité organisationnelle Nom (par exemple, l'article) []:
    • Nom commun (par exemple, un serveur de domaine complet ou votre nom) []: Certificat CA pour wikiHow.com
    • Adresse e-mail []: [email protected]
    4
    Auto-signer votre certificat:
  • openssl ca -extensions v3_ca départ privé server.CA-signed.crt -keyfile server.CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server.CA.csr
  • Les options expliquées:
  • ca - Charge le module autorité de certification
  • -l'extension v3_ca - Charge l'extension de v3_ca, un must-have pour un usage sur les navigateurs modernes
  • -sur server.CA-signed.crt - Le nom de votre nouvelle clé signé
  • -server.CA.key keyfile - La clé privée que vous avez créé à l'étape 1
  • -verbose - vous montre des détails sur la demande comme il est en cours de création (facultatif)
  • -SelfSign - Indique openssl que vous utilisez la même clé pour signer la demande
  • -md SHA256 - L'algorithme de chiffrement à utiliser pour le message. (Si vous ne savez pas ce que ce est, ne pas changer cela. Vous ne devriez changer cela si vous savez ce que vous faites)
  • -enddate 330630235959Z - La date du certificat de fin. La notation est YYMMDDHHMMSSZ où Z est en GMT, parfois connu comme le temps "Zulu".
  • -INFILES server.CA.csr - le fichier de demande de signature que vous avez créé l'étape ci-dessus.


  • 5
    Inspectez votre certificat CA:
    • openssl x509 -in -noout -text server.CA.crt
    • Les options expliquées:
  • x509 - Charge le module de x509 pour inspecter les certificats signés.
  • -noout - Ne pas afficher le texte codé
  • -moins - la sortie des informations sur l'écran
  • -dans server.CA.crt - Chargez le certificat signé
  • Le fichier server.CA.crt peut être distribué à toute personne qui utilisera votre site ou utiliser les certificats que vous prévoyez à la signature.
  • Partie 2 de 4: Création des certificats SSL pour un service, comme Apache
    1
    Créez une clé privée:
    • openssl genrsa -des3 départ privé server.apache.key 2048
    • Les options expliquées:
    • openssl - le nom du logiciel
    • genrsa - crée une nouvelle clé privée
    • -des3 - crypter la clé utilisant le chiffrement DES
    • -sur server.apache.key - le nom de votre nouvelle clé
    • 2048 - la longueur, en bits, de la clé privée (Se il vous plaît voir les avertissements)
  • Conservez ce certificat et le mot de passe dans un endroit sûr.
  • 2
    Créer une demande de signature de certificat:
    • openssl req -new -verbose touche server.apache.key départ privé server.apache.csr -sha256
    • Les options expliquées:
  • req - Crée une demande de signature
  • -verbose - vous montre des détails sur la demande comme il est en cours de création (facultatif)
  • -nouvelle - crée une nouvelle demande
  • -server.apache.key clé - La clé privée que vous venez de créer ci-dessus.
  • -sur server.apache.csr - Le nom du fichier de la demande de signature que vous créez
  • sha256 - L'algorithme de chiffrement à utiliser pour les demandes de signature (. Si vous ne savez pas ce que ce est, ne changez pas cette Vous ne devriez changer cela si vous savez ce que vous faites)
  • 3
    Utilisez votre certificat de CA pour signer la nouvelle clé:
    • openssl ca départ privé server.apache.pem -keyfile server.CA.key -infiles server.apache.csr
    • Les options expliquées:
  • ca - Charge le module autorité de certification
  • -sur server.apache.pem - Nommez le fichier le certificat signé
  • -server.CA.key keyfile - Le nom du fichier du certificat de CA qui signera la demande
  • -INFILES server.apache.csr - Le nom du fichier de la demande de signature de certificat
  • 4






    Remplissez les informations autant que possible:
    • Nom Pays (2 Code de lettre) [UA]: États-Unis
    • État ou province Nom (nom complet) [Certains-État]: Californie
    • Localité Nom (par exemple, ville) []: Silicon Valley
    • Nom de l'organisme (par exemple, entreprise) [Internet Widgits Pty Ltd]: wikiHow, Inc.
    • Unité organisationnelle Nom (par exemple, l'article) []:
    • Nom commun (par exemple, un serveur de domaine complet ou votre nom) []: Certificat SSL pour Apache wikiHow.com
    • Adresse e-mail []: [email protected]
    5
    Enregistrez une copie de votre clé privée dans un autre emplacement. Créez une clé privée sans un mot de passe pour empêcher Apache de vous demander le mot de passe:
  • openssl rsa -in server.apache.key départ privé server.apache.unsecured.key
  • Les options expliquées:
  • rsa - Exécute le programme de cryptage RSA
  • -dans server.apache.key - Le nom de la clé que vous voulez convertir.
  • -server.apache.unsecured.key sur - Le nom du fichier de la nouvelle clé non garanti
  • 6
    Utilisez le résultat server.apache.pem déposer avec la clé privée que vous avez généré à l'étape 1 pour configurer votre fichier apache2.conf.

    Partie 3 de 4: Création d'un certificat pour l'authentification de l'utilisateur
    1
    Suivez toutes les étapes de _Creating certificats SSL pour Apache_.
    2
    Convertissez votre certificat signé un PKCS12:
    • openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem départ privé user_cert.p12



    Partie 4 de 4: Création de certificats S / MIME E-mail
    1
    Créez une clé privée:
  • openssl genrsa -des3 départ privé private_email.key 2048
  • 2
    Créer une demande de signature de certificat:
    • openssl req -new touche private_email.key départ privé private_email.csr
    3
    Utilisez votre certificat de CA pour signer la nouvelle clé:
  • openssl ca départ privé private_email.pem -keyfile server.CA.key -infiles private_email.csr
  • 4
    Convertir le certificat PKCS12
  • openssl pkcs12 -export -in private_email.crt -inkey private_email.key départ privé private_email.p12
  • 5
    Créez un certificat de clé publique pour la distribution:
  • openssl pkcs12 -export départ privé public_cert.p12 -in private_email.pem -clcerts -nokeys -name "clé publique de WikiHow"




  • » » Comment être votre propre autorité de certification