Как создать SSL сертификат самостоятельно?
Для создания защищенного соединения между пользователем сетевого ресурса и сервером широко применяются SSL сертификаты, которые являются гарантией того, что передаваемые данные будут надежно зашифрованы и смогут быть прочитаны только владельцем данного сертификата. Подобная схема позволяет исключить утечку информации при передаче сведений о банковской карте клиента, его персональных данных и прочей конфиденциальной информации. Даже в том случае, если поток данных удастся перехватить, расшифровать его без наличия секретного ключа и алгоритма шифрования не представляется возможным.
Процесс создания SSL сертификата самостоятельно — достаточно трудоемкий процесс, требующий немало времени, особенно, если Вы раньше не сталкивались с этим вопросом. Поэтому в некоторых случаях проще получить самый простой сертификат от доверенного центра сертификации, выдача которого занимает всего 5 минут.
Создать сертификат самому можно средствами свободно распространяемого пакета IIS6 Resource Kit Tools.
Может потребоваться установка служб. Для этого в Панели управления необходимо выбрать раздел «Программы и компоненты» и в открывшемся окне в меню слева нажать на ссылку «Включение или отключение компонентов Windows». Далее в открывшемся окне нужно включить компонент «Службы IIS».
Что следует учесть перед созданием сертификата?
Прежде чем создать сертификат, следует проанализировать сферу его применения. Данный метод удобен для организации защиты данных на локальном сервере или во внутренней сети предприятия. Но если к сайту, использующему самоподписанный сертификат, обратится посторонний клиент, ему будет выдано уведомление, что создатель сертификата неизвестен и будет предложено выбрать, доверяет ли пользователь этому сертификату или нет. Не все готовы доверить свои личные и тем более финансовые данные неизвестному производителю.
Использование доверенного сертификата гарантирует безопасность и исключает риски клиента. К сайтам, использующим проверенных поставщиков сертификатов безопасности, клиенты относятся более лояльно, что обеспечивает более эффективное и выгодное сотрудничество.
Создать сертификат: пошаговая инструкция
Самостоятельно создать сертификат можно, выполнив 4 простых шага:
- В Панели управления войдите в раздел «Администрирование» и выберите там пункт «Диспетчер служб IIS»
.
- В Диспетчере служб нужно перейти в раздел «Сертификаты сервера».
- Справа расположен столбец «Действия». В нем выберите пункт «Создать самозаверенный сертификат…»
- В открывшемся диалоговом окне понадобится ввести название сертификата.
Привязать сертификат к серверу
После того, как Вы создали SSL сертификат, следует привязать его к IIS-серверу. Для этого вернитесь в раздел «Сертификаты сервера» и в разделе «Подключения» слева выберите сайт, к которому планируете привязать созданный.
В столбце «Действия» нажмите на «Привязки…».
В открывшемся диалоговом окне «Добавление привязки сайта» введите сведения о привязке (не забудьте выбрать созданный сертификат в соответствующем поле) и нажмите «ОК».
После создания сертификата, описывающего метод шифрования данных, необходимо экспортировать его приватный ключ и задать пароль, чтобы предотвратить выполнение изменений. В результате этих действий будет получен полноценный сертификат, который можно применять для обеспечения защищенных соединений.
Онлайн Генератор Самоподписанного SSL Сертификата для Сайта, Создать Самоподписанный SSL Сертификат Бесплатно
self-signed certificate
Создать SSLСоздать
Самоподписанный SSL сертификат может использоваться для настройки и работы с SSL средой во время разработки.
Вы можете использовать такой самоподписанный SSL сертификат, когда безопасность не требуется, например, для веб-серверов, предназначенных для тестирования и отладки, а также персональных веб-сайтов и веб-порталов. Чтобы создать самоподписанный SSL сертификат, введите имя сайта (пример: mysite.com) и нажмите ‘Создать SSL’.
Использование SSL сертификатов
Сертификаты SSL необходимы, когда вам нужно открывать веб-сайты, используя HTTPS протокол. Профессиональным веб-сайтам требуются профессиональные надежные SSL сертификаты центров SSL сертификации, таких как Comodo, Symantec, Thawte, GeoTrust, RapidSSL. Доверенные SSL сертификаты используют цепочку доверия, где каждый сертификат подписан (доверен) более высоким и более надежным сертификатом. В верхней части цепочки доверия находятся корневые сертификаты, принадлежащие Verisign или GeoTrust. Такие корневые сертификаты обычно поставляются с вашей операционной системой или веб-браузером.
Как браузер анализирует SSL ответ
Когда вы посещаете веб-сайт по HTTPS протоколу, ваш веб-браузер получает SSL сертификат для веб-сайта.
Он проверяет SSL сертификат, чтобы убедиться, что он действительно выдан для этого имени домена, которое вы открываете. После этого он проверит цепочку доверия и кто его подписал. Если этот SSL сертификат является корневым сертификатом, браузер сравнит его с теми, которые поставляются с операционной системой. Если это сертификат не корневой но подписан доверенным SSL сертификатом, он проверит всю цепочку доверия.
При использовании самоподписанного SSL сертификата у него нет цепочки доверия. Сертификат подписан самим собой. Веб-браузер обнаружит это и покажет предупреждение, сообщая вам, что сертификат веб-сайта не трастовый. Поэтому не стоит использовать самоподписанные SSL сертификаты для профессионального использования, так как ваши посетители не будут доверять вашему веб-сайту и могут отказаться от его использования.
Реальные трастовые SSL сертификаты
Настоящие доверенные SSL сертификаты безопасны и защищённы, браузеры доверяют им, а все посетители не получают никаких SSL предупреждений.
Мы предоставляем огромное количество настоящих трастовых SSL сертификатов, каждый может найти наиболее подходящий SSL продукт.
Бесплатное облачное онлайн пространство для Ваших SSL Сертификатов и Приватных ключей
Используя SSL Cертификаты от Regery Вы получаете быстрое и бесплатное облачное хранилище для всех Ваших SSL Сертификатов, Промежуточных Сертификатов (CA Bundle), CSR Кодов и Приватных RSA Ключей. В случае, утери ССЛ Сертификата, Вы всегда можете его скачать из панели управления SSL сертификатами на Regery.
apache — Как создать самозаверяющий SSL-сертификат для использования при тестировании веб-приложения
ПРЕДУПРЕЖДЕНИЕ: Это совершенно бесполезно для других целей, кроме локального тестирования.
Замените MYDOMAIN своим локальным доменом. Работает и с локальным хостом.
В какой-нибудь папке создайте файл MYDOMAIN.conf. Добавьте в него следующее содержимое:
[ req ] подсказка = нет биты по умолчанию = 2048 default_keyfile = МОЙ ДОМЕН.*Если* вы не разрешаете # Передача ключа RSA (т. е. вы используете эфемерные наборы шифров), затем # опустить keyEncipherment, потому что это передача ключей. базовые ограничения = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alternate_names nsComment = "Сгенерированный сертификат OpenSSL" # RFC 5280, раздел 4.2.1.12 делает EKU необязательным # CA/базовые требования к браузеру, Приложение (B)(3)(G) меня смущает # В любом случае вам, вероятно, понадобится только serverAuth. # extendedKeyUsage = serverAuth, clientAuth # Раздел req_ext используется при формировании запроса на подпись сертификата. То есть запрос openssl ... [req_ext] subjectKeyIdentifier = хэш базовые ограничения = CA:FALSE keyUsage = digitalSignature, keyEncipherment subjectAltName = @alternate_names nsComment = "Сгенерированный сертификат OpenSSL" # RFC 5280, раздел 4.2.1.12 делает EKU необязательным # CA/базовые требования к браузеру, Приложение (B)(3)(G) меня смущает # В любом случае вам, вероятно, понадобится только serverAuth. # extendedKeyUsage = serverAuth, clientAuth [альтернативные_имена] DNS.1 = МОЙ ДОМЕН # Добавьте их, если они вам нужны. Но обычно вы не хотите их или # они нужны в производстве. Они могут понадобиться вам для развития. # DNS.5 = локальный хост # DNS.6 = localhost.localdomain DNS.7 = 127.0.0.1 # IPv6 локальный хост # DNS.8 = ::1
pem
отличительное_имя = тема
req_extensions = req_ext
х509_extensions = x509_ext
string_mask = только utf8
# DN субъекта может быть сформирован с использованием X501 или RFC 4514 (описание см. в RFC 4519).
# Это своего рода мэшап. Например, RFC 4514 не предоставляет адрес электронной почты.
[ предмет ]
имя страны = KE
stateOrProvinceName = Найроби
localityName = Найроби
имя_организации = локальный хост
# Используйте понятное имя, потому что оно представлено пользователю. DNS сервера
# имена помещаются в альтернативные имена субъектов. Кроме того, DNS-имена здесь устарели.
# как IETF, так и CA/Browser Forums. Если вы разместите здесь DNS-имя, то вы
# также должно включать DNS-имя в SAN (в противном случае Chrome и другие
# строго следовать базовым требованиям CA/браузера не удастся).
commonName = Сертификат разработчика Localhost
адрес электронной почты 
Создайте файлы сертификата:
$ sudo openssl req -config MYDOMAIN.conf -new -x509 -sha256 -newkey rsa:2048 -nodes -keyout MYDOMAIN.key -days 1024 -out MYDOMAIN.crt $ sudo openssl pkcs12 -export -out MYDOMAIN.pfx -inkey MYDOMAIN.key -in MYDOMAIN.crt $ sudo chown -R $ USER *
Сделайте так, чтобы ваш локальный компьютер доверял вашему сертификату:
# Установите утилиты сертификата $ sudo apt-get установить libnss3-tools # Доверяйте сертификату для SSL $ pk12util -d sql:$HOME/.pki/nssdb -i МОЙ ДОМЕН.pfx # Доверять самоподписанному сертификату сервера $ certutil -d sql:$HOME/.pki/nssdb -A -t "P," -n 'сертификат разработки' -i МОЙ ДОМЕН.crt
Отредактируйте /etc/apache2/sites-available/default-ssl.conf и убедитесь, что эти две директивы указывают на файлы .crt и .key, которые вы только что создали (при необходимости раскомментируйте):
SSLCertificateFile /path/to/MYDOMAIN.crt SSLCertificateKeyFile /path/to/MYDOMAIN.key
Применить конфигурацию и перезапустить apache:
# Если вы не используете конфигурацию по умолчанию ( /etc/apache2/sites-available/default-ssl.conf ), # затем замените "default-ssl" на любое имя файла конфигурации, которое вы выбрали # ( НЕ ВКЛЮЧАЙТЕ бит .conf ). $ sudo a2ensite по умолчанию-ssl $ sudo service apache2 перезапустить
Посетите https://MYDOMAIN в своем браузере. Firefox предупредит вас, что сертификат является самоподписанным и, следовательно, скажет, что он недействителен. Вам нужно будет добавить исключение.
Источник:
- Большую часть я получил от 3dw1n_m0535;
- Если у вас возникли проблемы, прочтите файл README по адресу
/usr/share/doc/apache2/README. Debian.gz
Debian.gz Setup SSL CSR Creation and SSL Certificate Installation
CSR Creation and SSL Installation Guides Setup Guides
Начало работы с SSL может сбивать с толку даже в самые лучшие времена. даже для опытных администраторов серверов.
Если вам нужно беспокоиться о SSL один или два раза в год, или вы меняете сертификаты и настраиваете SSL сертификаты на сотнях серверов, наши руководства по настройке SSL разработаны, чтобы максимально упростить для вас этот процесс.
И, как всегда, если у вас есть какие-либо вопросы о ваших SSL установка сертификата или конфигурация SSL, просто позвоните нам! Мы готовы ответить на вопросы 24 часа в сутки.
Установка сертификата SSL
Установка SSL
Установка может широко варьироваться от одного типа сервера к другому, и даже иногда между более старыми версиями и последним обновлением.
Если есть конкретный сервер, с которым вам нужна помощь, который мы не перечисляем,
или если у вас возникнут какие-либо проблемы с нашими существующими инструкциями, не стесняйтесь сообщить нам об этом.
Общие платформы:
Полный список:
Создание CSR
Создание CSR — это первый шаг к настройке SSL на вашем сервере или устройстве с поддержкой SSL.
Созданный вами файл .csr будет отправлен нам в процессе онлайн-заказа, и используется для создания файла сертификата SSL.
Общие платформы:
Полный список:
Шаги для запроса и установки сертификата SSL
- Шаг 1) Создайте запрос на подпись сертификата (CSR)
- Шаг 2) Закажите сертификат
- Шаг 3) Проверка вашей компании
- Шаг 4) Установите сертификат SSL
После первоначальной установки сертификата мы рекомендуем вам проверить, правильно ли он работает. с помощью нашего инструмента проверки установки SSL.
В дополнение к упомянутым выше инструментам мы предлагаем различные решения по настройке SSL-сертификатов. Дополнительную информацию можно найти для экспорта сертификатов с одного типа сервера на другой, обновления вашего сертификата DigiCert или удаления внутренних имен с ваших серверов Microsoft Exchange.