Создание себя

В этой статье объясняется, как создать самозаверяющий сертификат SSL с помощью инструмента openssl.

Что такое самоподписанный сертификат SSL?

Самозаверяющий сертификат SSL - это сертификат, подписанный лицом, которое его создало, а не доверенным центром сертификации. Самозаверяющие сертификаты могут иметь тот же уровень шифрования, что и доверенный CA-подписанный SSL-сертификат.

Самозаверяющие сертификаты, признанные действительными в любом браузере. Если вы используете самозаверяющий сертификат, веб-браузер покажет посетителю предупреждение о том, что сертификат веб-сайта невозможно проверить.

Самозаверяющие сертификаты в основном используются для целей тестирования или внутреннего использования. Вы не должны использовать самозаверяющий сертификат в производственных системах, которые подключены к Интернету.

Предпосылки

Инструментарий openssl необходим для создания самозаверяющего сертификата.

Чтобы проверить, установлен ли пакет openssl в вашей системе Linux, откройте ваш терминал, введите openssl version и нажмите Enter. Если пакет установлен, система напечатает версию OpenSSL, в противном случае вы увидите что-то вроде openssl command not found .

Если пакет openssl не установлен в вашей системе, вы можете установить его, выполнив следующую команду:

• Ubuntu и Debian

  sudo apt install openssl

  Чентос и Федора

  sudo yum install openssl

Создание самоподписанного SSL-сертификата

Чтобы создать новый самоподписанный сертификат SSL, используйте команду openssl req :

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key

Давайте разберем команду и разберемся, что означает каждая опция:

• -newkey rsa:4096 - Создает новый запрос сертификата и 4096-битный ключ RSA. Значение по умолчанию составляет 2048 бит. -x509 - Создает сертификат X.509. -sha256 - использовать 265-битный SHA (алгоритм безопасного хеширования). -days 3650 - количество дней для сертификации сертификата. 3650 - это 10 лет. Вы можете использовать любое положительное целое число. -nodes - Создает ключ без ключевой фразы. -out example.crt - указывает имя файла, в который будет записан вновь созданный сертификат. Вы можете указать любое имя файла. -keyout example.key - Указывает имя файла, в который будет -keyout example.key вновь созданный закрытый ключ. Вы можете указать любое имя файла.

Для получения дополнительной информации о параметрах команды openssl req посетите страницу документации OpenSSL req.

Как только вы нажмете Enter, команда сгенерирует закрытый ключ и задаст вам ряд вопросов, которые она будет использовать для генерации сертификата.

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. -----

Введите запрашиваемую информацию и нажмите Enter.

Country Name (2 letter code):US State or Province Name (full name):Alabama Locality Name (eg, city):Montgomery Organization Name (eg, company):Linuxize Organizational Unit Name (eg, section):Marketing Common Name (eg server FQDN or YOUR name):linuxize.com Email Address:[email protected]

Сертификат и закрытый ключ будут созданы в указанном месте. Используйте команду ls, чтобы убедиться, что файлы были созданы:

ls

example.crt example.key

Это оно! Вы создали новый самозаверяющий сертификат SSL.

Всегда полезно создать резервную копию вашего нового сертификата и ключа для внешнего хранилища.

Создание самоподписанного SSL-сертификата без запроса

openssl req -newkey rsa:4096 \ -x509 \ -sha256 \ -days 3650 \ -nodes \ -out example.crt \ -keyout example.key \ -subj "/C=SI/ST=Ljubljana/L=Ljubljana/O=Security/OU=IT Department/CN=www.example.com"

Generating a RSA private key…………………………………………………………….++++……..++++ writing new private key to 'example.key' -----

Поля, указанные в строке -subj , перечислены ниже:

• C= - Название страны. Двухбуквенное сокращение ISO. ST= - название штата или провинции. L= - Название населенного пункта. Название города, в котором вы находитесь. O= - Полное название вашей организации. OU= - Организационная единица. CN= - Полное доменное имя.

Вывод

В этом руководстве мы показали вам, как создать самозаверяющий сертификат SSL с помощью инструмента openssl. Теперь, когда у вас есть сертификат, вы можете настроить свое приложение для его использования.

Не стесняйтесь оставлять комментарии, если у вас есть какие-либо вопросы.

терминал безопасности bash