OpenSSL kullanarak kendi SSL sertifikanızı oluşturarak sitenizin ziyaretçilerine güvenliklerini ciddiye aldığınızı gösterin.
SSL/TLS sertifikaları, web uygulamanızın veya sunucunuzun güvenliğini sağlamak için gereklidir. Birkaç güvenilir sertifika yetkilisi bir ücret karşılığında SSL/TLS sertifikaları sağlarken, OpenSSL kullanarak kendinden imzalı bir sertifika oluşturmak da mümkündür. Kendinden imzalı sertifikalar, güvenilir bir otoritenin onayından yoksun olsa da, yine de web trafiğinizi şifreleyebilirler. Peki, web siteniz veya sunucunuz için kendinden imzalı bir sertifika oluşturmak için OpenSSL'yi nasıl kullanabilirsiniz?
OpenSSL Nasıl Kurulur?
OpenSSL açık kaynaklı bir yazılımdır. Ama programlama altyapınız yoksa ve derleme süreçleriyle ilgili endişeleriniz varsa, biraz teknik bir kurulumu vardır. Bunu önlemek için OpenSSL kodunun tamamen derlenmiş ve yüklemeye hazır en son sürümünü adresinden indirebilirsiniz. slproweb'in sitesi.
Burada, sisteminize uygun en son OpenSSL sürümünün MSI uzantısını seçin.
Örnek olarak, OpenSSL'yi şu adreste düşünün: D:\OpenSSL-Win64. Bunu değiştirebilirsiniz. Kurulum tamamlandıysa, PowerShell'i yönetici olarak aç ve adlı alt klasöre gidin çöp Kutusu OpenSSL'yi kurduğunuz klasörde. Bunu yapmak için aşağıdaki komutu kullanın:
CD'D:\OpenSSL-Win64\bin'
Artık erişiminiz var openssl.exe ve istediğiniz gibi çalıştırabilirsiniz.
OpenSSL ile Özel Anahtarınızı Oluşturun
Kendinden imzalı bir sertifika oluşturmak için özel bir anahtara ihtiyacınız olacak. Aynı bin klasöründe admin olarak açtıktan sonra PowerShell'de aşağıdaki komutu girerek bu private key'i oluşturabilirsiniz.
açılır.exegensa-des3-dışarıBenim Özel Anahtarım.anahtar 2048
Bu komut, OpenSSL aracılığıyla 2048 bit uzunluğunda, 3DES ile şifrelenmiş bir RSA özel anahtarı üretecektir. OpenSSL sizden bir şifre girmenizi isteyecektir. bir kullanmalısın güçlü ve akılda kalıcı parola. Aynı şifreyi iki kez girdikten sonra, RSA özel anahtarınızı başarıyla oluşturmuş olacaksınız.
Özel RSA anahtarınızı adıyla bulabilirsiniz. benimPrivateKey.key.
OpenSSL ile CSR Dosyası Nasıl Oluşturulur
Oluşturduğunuz private key tek başına yeterli olmayacaktır. Ek olarak, kendinden imzalı bir sertifika oluşturmak için bir CSR dosyasına ihtiyacınız vardır. Bu CSR dosyasını oluşturmak için PowerShell'de yeni bir komut girmeniz gerekir:
açılır.exeistek-yeni-anahtarBenim Özel Anahtarım.anahtar-dışarıSertifika İsteğim.csr
OpenSSL, burada özel anahtarı oluşturmak için girdiğiniz şifreyi de isteyecektir. Ayrıca yasal ve kişisel bilgilerinizi talep edecektir. Bu bilgileri doğru girmeye dikkat edin.
Ayrıca şimdiye kadar yapılan tüm işlemleri tek bir komut satırı ile yapmak mümkündür. Aşağıdaki komutu kullanırsanız, hem özel RSA anahtarınızı hem de CSR dosyasını aynı anda oluşturabilirsiniz:
açılır.exeistek-yeni-yeni anahtarrsa:2048-düğümler-keyoutBenim Özel Anahtarım2.anahtar-dışarıMyCertRequest2.csr
Artık adlı dosyayı görebileceksiniz. myCertRequest.csr ilgili dizinde. Oluşturduğunuz bu CSR dosyası aşağıdakiler hakkında bazı bilgiler içerir:
- Belgeyi talep eden kurum.
- Ortak Ad (yani alan adı).
- Genel Anahtar (şifreleme amacıyla).
Oluşturduğunuz CSR dosyalarının belirli merciler tarafından incelenip onaylanması gerekmektedir. Bunun için KSS dosyasını doğrudan sertifika yetkilisine veya diğer aracı kurumlara göndermeniz gerekmektedir.
Bu makamlar ve aracı kurumlar, istediğiniz sertifikanın niteliğine göre verdiğiniz bilgilerin doğru olup olmadığını inceler. Bilgilerin doğru olup olmadığını kanıtlamak için bazı belgeleri çevrimdışı (faks, posta vb.) göndermeniz de gerekebilir.
Bir Sertifika Yetkilisi Tarafından Sertifikanın Hazırlanması
Oluşturduğunuz CSR dosyasını geçerli bir sertifika yetkilisine gönderdiğinizde, sertifika yetkilisi dosyayı imzalar ve sertifikayı talep eden kurum veya kişiye gönderir. Bunu yaparken, sertifika yetkilisi (CA olarak da bilinir) ayrıca CSR ve RSA dosyalarından bir PEM dosyası oluşturur. PEM dosyası, kendinden imzalı bir sertifika için gereken son dosyadır. Bu aşamalar, SSL sertifikaları düzenli, güvenilir ve güvenli kalır.
OpenSSL ile kendiniz de PEM dosyası oluşturabilirsiniz. Ancak bu, sertifikanızın güvenliği için potansiyel bir risk oluşturabilir çünkü sertifikanın orijinalliği veya geçerliliği net değildir. Ayrıca sertifikanızın doğrulanamaz olması bazı uygulama ve ortamlarda çalışmamasına neden olabilir. Dolayısıyla bu kendinden imzalı sertifika örneği için sahte bir PEM dosyası kullanabiliriz, ancak elbette bu gerçek dünya kullanımında mümkün değildir.
Şimdilik, adında bir PEM dosyası hayal edin. myPemKey.pem resmi bir sertifika yetkilisinden gelir. Kendiniz için bir PEM dosyası oluşturmak için aşağıdaki komutu kullanabilirsiniz:
açılırx509-req-sha256-gün 365 -içindeSertifika İsteğim.csr-işaret anahtarıBenim Özel Anahtarım.anahtar-dışarıbenimPemKey'im.pem
Böyle bir dosyanız olsaydı, kendinden imzalı sertifikanız için kullanmanız gereken komut şöyle olurdu:
açılır.exex509-req-gün 365 -içindeSertifika İsteğim.csr-işaret anahtarıbenimPemKey'im.pem-dışarıKendi İmzalı Sertifikam.cer
Bu komut, CSR dosyasının adlı özel bir anahtarla imzalandığı anlamına gelir. myPemKey.pem365 gün geçerlidir. Sonuç olarak, adlı bir sertifika dosyası oluşturursunuz. mySelfSignedCert.cer.
Kendinden İmzalı Sertifika Bilgileri
Oluşturduğunuz kendinden imzalı sertifikadaki bilgileri kontrol etmek için aşağıdaki komutu kullanabilirsiniz:
açılır.exex509-çıkış yok-metin-içindeKendi İmzalı Sertifikam.cer
Bu size sertifikanın içerdiği tüm bilgileri gösterecektir. Sertifikada şirket veya kişisel bilgiler, kullanılan algoritmalar gibi pek çok bilgiyi görmek mümkündür.
Kendinden İmzalı Sertifikalar Sertifika Yetkilisi Tarafından İmzalanmazsa Ne Olur?
Oluşturduğunuz kendinden imzalı sertifikaları denetlemeniz ve bunların güvenli olduğunu doğrulamanız önemlidir. Bunu genellikle bir üçüncü taraf sertifika sağlayıcısı (yani bir CA) yapar. Üçüncü taraf bir sertifika yetkilisi tarafından imzalanmış ve onaylanmış bir sertifikanız yoksa ve bu onaylanmamış sertifikayı kullanırsanız, bazı güvenlik sorunları yaşarsınız.
Bilgisayar korsanları, örneğin bir web sitesinin sahte bir kopyasını oluşturmak için otomatik olarak imzalanan sertifikanızı kullanabilir. Bu, bir saldırganın kullanıcıların bilgilerini çalmasına olanak tanır. Ayrıca kullanıcılarınızın kullanıcı adlarını, parolalarını veya diğer hassas bilgilerini ele geçirebilirler.
Kullanıcıların, web sitelerinin ve diğer hizmetlerin güvenliğini sağlamak için genellikle bir CA tarafından onaylanmış sertifikaların kullanılması gerekir. Bu, kullanıcının verilerinin şifrelendiğine ve doğru sunucuya bağlandığına dair bir güvence sağlar.
Windows'ta Kendinden İmzalı Sertifikalar Oluşturma
Gördüğünüz gibi, OpenSSL ile Windows'ta kendinden imzalı bir sertifika oluşturmak oldukça basittir. Ancak, sertifika yetkililerinden de onay almanız gerekeceğini unutmayın.
Bununla birlikte, böyle bir sertifika oluşturmak, kullanıcıların güvenliğini ciddiye aldığınızı gösterir, bu da size, sitenize ve genel olarak markanıza daha fazla güvenecekleri anlamına gelir.
