יצירת עצמי

מאמר זה מסביר כיצד ליצור תעודת SSL בחתימה עצמית באמצעות הכלי openssl.

מה זה תעודת SSL עם חתימה עצמית?

תעודת SSL עם חתימה עצמית היא אישור שנחתם על ידי האדם שיצר אותה ולא רשות אישורים מהימנה. אישורים עם חתימה עצמית יכולים להיות באותה הצפנה כמו אישור ה- SSL הנחתם על CA.

אישורים עם חתימה עצמית כפי שמוכרים כתקפים על ידי כל דפדפן. אם אתה משתמש בתעודה חתימה עצמית, דפדפן האינטרנט יציג בפני האורח אזהרה שלא ניתן לאמת את אישור אתר האינטרנט.

האישורים החתומים על עצמם משמשים לרוב למטרות בדיקה או לשימוש פנימי. אסור להשתמש בתעודה חתימה עצמית במערכות ייצור החשופות לאינטרנט.

תנאים מוקדמים

ערכת הכלים openssl נדרשת כדי ליצור אישור חתימה עצמית.

כדי לבדוק אם חבילת openssl מותקנת במערכת הלינוקס שלך, פתח את הטרמינל שלך, הקלד את openssl version ולחץ על Enter. אם החבילה מותקנת המערכת תדפיס את גרסת OpenSSL, אחרת תראה משהו כמו openssl command not found .

אם חבילת openssl אינה מותקנת במערכת שלך, אתה יכול להתקין אותה על ידי הפעלת הפקודה הבאה:

• אובונטו ודביאן

  sudo apt install openssl

  סנטוס ופדורה

  sudo yum install openssl

יצירת אישור SSL עם חתימה עצמית

כדי ליצור אישור SSL חדש עם חתימה עצמית השתמש בפקודת openssl req :

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key

בואו נפרט את הפקודה ונבין מה המשמעות של כל אפשרות:

• -newkey rsa:4096 - יצירת בקשת אישור חדשה ומפתח RSA 4096 ביט. ברירת המחדל היא 2048 ביט. -x509 - יצירת אישור X.509. -sha256 - השתמש ב- SHA 265 סיביות (אלגוריתם מאובטח עם האש). -days 3650 - מספר הימים בהם יש לאשר את האישור. 3650 זה 10 שנים. אתה יכול להשתמש בכל מספר שלם חיובי. -nodes - יצירת מפתח ללא ביטוי סיסמה. -out example.crt - מציין את שם הקובץ שאליו יש לכתוב את האישור החדש שנוצר. ניתן לציין כל שם קובץ. -keyout example.key - מציין את שם הקובץ לכתיבת המפתח הפרטי החדש שנוצר אליו. ניתן לציין כל שם קובץ.

למידע נוסף על אפשרויות הפקודה openssl req בקר בדף התיעוד של OpenSSL req.

ברגע שתלחץ על Enter הפקודה תייצר את המפתח הפרטי ותשאל אותך סדרת שאלות בהן ישמש להפקת האישור.

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. -----

הזן את המידע המבוקש ולחץ על Enter.

Country Name (2 letter code):US State or Province Name (full name):Alabama Locality Name (eg, city):Montgomery Organization Name (eg, company):Linuxize Organizational Unit Name (eg, section):Marketing Common Name (eg server FQDN or YOUR name):linuxize.com Email Address:[email protected]

האישור והמפתח הפרטי ייווצרו במיקום שצוין. השתמש בפקודה ls כדי לוודא שהקבצים נוצרו:

ls

example.crt example.key

זהו זה! יצרת, תעודת SSL חדשה עם חתימה עצמית.

כדאי תמיד לגבות את האישור החדש ואת המפתח לאחסון חיצוני.

יצירת אישור SSL בחתימה עצמית ללא בקשה

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key \ -subj "/C=SI/ST=Ljubljana/L=Ljubljana/O=Security/OU=IT Department/CN=www.example.com"

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' -----

השדות המפורטים בשורה -subj מופיעים בהמשך:

• C= - שם מדינה. קיצור ה- ISO בן שתי אותיות. ST= - שם מדינה או מחוז. L= - שם יישוב. שם העיר בה אתה נמצא. O= - השם המלא של הארגון שלך. OU= - היחידה הארגונית. CN= - שם הדומיין המלא.

סיכום

במדריך זה הראינו לכם כיצד ליצור תעודת SSL בחתימה עצמית באמצעות הכלי openssl. כעת, לאחר שיש לך את האישור, אתה יכול להגדיר את היישום שלך לשימוש בו.

אל תהסס להשאיר תגובה אם יש לך שאלות.

מסוף ביטחון