Comment être votre propre autorité de certification
Quatre parties:Création de votre certificat CACréation de certificats SSL pour un service, comme ApacheCréation d'un certificat pour l'authentification de l'utilisateurCréation S / MIME E-mail Certificats
Obtenir un certificat SSL de l'un des principaux autorités de certification (CA) peut parcourir 100 $ et plus. Ajouter au mélange, des reportages qui semblent indiquer que toutes les autorités de certification établis peut faire confiance à 100% du temps et vous pourriez décider de contourner l'incertitude et d'effacer le coût en étant votre propre autorité de certification.
Les Étapes
Partie 1 de 4: Création de votre certificat CA
1
Générer clé privée de votre CA en exécutant la commande suivante:Conservez ce certificat et le mot de passe dans un endroit sûr.
openssl genrsa -des3 départ privé server.CA.key 2048
- Les options expliquées:
- openssl - le nom du logiciel
- genrsa - crée une nouvelle clé privée
- -des3 - crypter la clé utilisant le chiffrement DES
- -sur server.CA.key - le nom de votre nouvelle clé
- 2048 - la longueur, en bits, de la clé privée (Se il vous plaît voir les avertissements)
2
Créer une demande de signature de certificat:
openssl req -new -verbose touche server.CA.key départ privé server.CA.csr -sha256
- Les options expliquées:
3
Remplissez les informations autant que possible:
Nom Pays (2 Code de lettre) [UA]: États-Unis
État ou province Nom (nom complet) [Certains-État]: Californie
Localité Nom (par exemple, ville) []: Silicon Valley
Nom de l'organisme (par exemple, entreprise) [Internet Widgits Pty Ltd]: wikiHow, Inc.
Unité organisationnelle Nom (par exemple, l'article) []:
Nom commun (par exemple, un serveur de domaine complet ou votre nom) []: Certificat CA pour wikiHow.com
Adresse e-mail []: [email protected]
4
Auto-signer votre certificat:
openssl ca -extensions v3_ca départ privé server.CA-signed.crt -keyfile server.CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server.CA.csr
5
Inspectez votre certificat CA:
- openssl x509 -in -noout -text server.CA.crt
- Les options expliquées:
Partie 2 de 4: Création des certificats SSL pour un service, comme Apache
1
Créez une clé privée:Conservez ce certificat et le mot de passe dans un endroit sûr.
openssl genrsa -des3 départ privé server.apache.key 2048
- Les options expliquées:
- openssl - le nom du logiciel
- genrsa - crée une nouvelle clé privée
- -des3 - crypter la clé utilisant le chiffrement DES
- -sur server.apache.key - le nom de votre nouvelle clé
- 2048 - la longueur, en bits, de la clé privée (Se il vous plaît voir les avertissements)
2
Créer une demande de signature de certificat:
openssl req -new -verbose touche server.apache.key départ privé server.apache.csr -sha256
- Les options expliquées:
3
Utilisez votre certificat de CA pour signer la nouvelle clé:
openssl ca départ privé server.apache.pem -keyfile server.CA.key -infiles server.apache.csr
- Les options expliquées:
4
Remplissez les informations autant que possible:
Nom Pays (2 Code de lettre) [UA]: États-Unis
État ou province Nom (nom complet) [Certains-État]: Californie
Localité Nom (par exemple, ville) []: Silicon Valley
Nom de l'organisme (par exemple, entreprise) [Internet Widgits Pty Ltd]: wikiHow, Inc.
Unité organisationnelle Nom (par exemple, l'article) []:
Nom commun (par exemple, un serveur de domaine complet ou votre nom) []: Certificat SSL pour Apache wikiHow.com
Adresse e-mail []: [email protected]
5
Enregistrez une copie de votre clé privée dans un autre emplacement. Créez une clé privée sans un mot de passe pour empêcher Apache de vous demander le mot de passe:
openssl rsa -in server.apache.key départ privé server.apache.unsecured.key
6
Utilisez le résultat server.apache.pem déposer avec la clé privée que vous avez généré à l'étape 1 pour configurer votre fichier apache2.conf.
Partie 3 de 4: Création d'un certificat pour l'authentification de l'utilisateur
1
Suivez toutes les étapes de _Creating certificats SSL pour Apache_.
2
Convertissez votre certificat signé un PKCS12:
- openssl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem départ privé user_cert.p12
Partie 4 de 4: Création de certificats S / MIME E-mail
1
Créez une clé privée:
2
Créer une demande de signature de certificat:
- openssl req -new touche private_email.key départ privé private_email.csr
3
Utilisez votre certificat de CA pour signer la nouvelle clé:
4
Convertir le certificat PKCS12
5
Créez un certificat de clé publique pour la distribution: