أظهر لزوار موقعك أنك تأخذ أمنهم على محمل الجد من خلال إنشاء شهادة SSL الخاصة بك باستخدام OpenSSL.
تعد شهادات SSL / TLS ضرورية لتأمين تطبيق الويب أو الخادم. بينما توفر العديد من هيئات الشهادات الموثوقة شهادات SSL / TLS مقابل تكلفة ، فمن الممكن أيضًا إنشاء شهادة موقعة ذاتيًا باستخدام OpenSSL. على الرغم من أن الشهادات الموقعة ذاتيًا تفتقر إلى مصادقة مرجع موثوق به ، إلا أنها لا تزال قادرة على تشفير حركة مرور الويب الخاصة بك. إذن كيف يمكنك استخدام OpenSSL لإنشاء شهادة موقعة ذاتيًا لموقع الويب أو الخادم الخاص بك؟
كيفية تثبيت OpenSSL
OpenSSL هو برنامج مفتوح المصدر. ولكن إذا لم يكن لديك خلفية برمجة وكنت قلقًا بشأن عمليات الإنشاء ، فلديك القليل من الإعداد الفني. لتجنب ذلك ، يمكنك تنزيل أحدث إصدار من كود OpenSSL ، مجمع بالكامل وجاهز للتثبيت ، من موقع slproweb.
هنا ، حدد امتداد MSI لأحدث إصدار من OpenSSL مناسب لنظامك.
كمثال ، ضع في اعتبارك OpenSSL في د: \ OpenSSL-Win64. يمكنك تغيير هذا. إذا اكتمل التثبيت ، افتح PowerShell كمسؤول وانتقل إلى المجلد الفرعي المسمى سلة مهملات في المجلد حيث قمت بتثبيت OpenSSL. للقيام بذلك ، استخدم الأمر التالي:
قرص مضغوط"D: \ OpenSSL-Win64 \ bin"
لديك الآن حق الوصول إلى opensl.exe ويمكنك تشغيله كما تريد.
قم بإنشاء مفتاحك الخاص باستخدام OpenSSL
ستحتاج إلى مفتاح خاص لإنشاء شهادة موقعة ذاتيًا. في مجلد bin نفسه ، يمكنك إنشاء هذا المفتاح الخاص عن طريق إدخال الأمر التالي في PowerShell بمجرد فتحه كمسؤول.
يفتح.إملف تنفيذىجينرس-des3-خارجmyPrivateKey.مفتاح 2048
سيُنشئ هذا الأمر مفتاحًا خاصًا RSA بطول 2048 بت ومشفّر بـ 3DES عبر OpenSSL. سيطلب منك OpenSSL إدخال كلمة مرور. يجب عليك استخدام أ كلمة مرور قوية لا تنسى. بعد إدخال نفس كلمة المرور مرتين ، ستكون قد أنشأت مفتاح RSA الخاص بنجاح.
يمكنك العثور على مفتاح RSA الخاص بك بالاسم myPrivateKey.key.
كيفية إنشاء ملف CSR باستخدام OpenSSL
لن يكون المفتاح الخاص الذي تقوم بإنشائه كافيًا بمفرده. بالإضافة إلى ذلك ، تحتاج إلى ملف CSR لعمل شهادة موقعة ذاتيًا. لإنشاء ملف CSR هذا ، تحتاج إلى إدخال أمر جديد في PowerShell:
يفتح.إملف تنفيذىمطلوب-جديد-مفتاحmyPrivateKey.مفتاح-خارجmyCertRequestcsr
سيطلب OpenSSL أيضًا كلمة المرور التي أدخلتها لإنشاء المفتاح الخاص هنا. سيطلب كذلك معلوماتك القانونية والشخصية. احذر من إدخال هذه المعلومات بشكل صحيح.
بالإضافة إلى ذلك ، من الممكن القيام بجميع العمليات حتى الآن باستخدام سطر أوامر واحد. إذا كنت تستخدم الأمر أدناه ، فيمكنك إنشاء كل من مفتاح RSA الخاص وملف CSR في آنٍ واحد:
يفتح.إملف تنفيذىمطلوب-جديد-مفتاح جديدrsa:2048- العقد-مفتاح الخروجmyPrivateKey2.مفتاح-خارجmyCertRequest2csr
ستتمكن الآن من رؤية الملف المسمى myCertRequest.csr في الدليل ذي الصلة. يحتوي ملف CSR هذا الذي تقوم بإنشائه على بعض المعلومات حول:
- المؤسسة طالبة الشهادة.
- الاسم الشائع (أي اسم المجال).
- المفتاح العام (لأغراض التشفير).
تحتاج ملفات CSR التي تنشئها إلى المراجعة والموافقة عليها من قبل سلطات معينة. لهذا ، تحتاج إلى إرسال ملف CSR مباشرة إلى المرجع المصدق أو المؤسسات الوسيطة الأخرى.
تفحص هذه السلطات وشركات السمسرة ما إذا كانت المعلومات التي تقدمها صحيحة ، اعتمادًا على طبيعة الشهادة التي تريدها. قد تحتاج أيضًا إلى إرسال بعض المستندات دون اتصال (فاكس ، بريد ، إلخ) لإثبات ما إذا كانت المعلومات صحيحة.
إعداد الشهادة من قبل المرجع المصدق
عند إرسال ملف CSR الذي قمت بإنشائه إلى مرجع مصدق صالح ، تقوم هيئة إصدار الشهادات بتوقيع الملف وإرسال الشهادة إلى المؤسسة أو الشخص الطالب. عند القيام بذلك ، يقوم المرجع المصدق (المعروف أيضًا باسم CA) أيضًا بإنشاء ملف PEM من ملفات CSR و RSA. ملف PEM هو الملف الأخير المطلوب للحصول على شهادة موقعة ذاتيًا. هذه المراحل تضمن ذلك تظل شهادات SSL منظمة وموثوقة وآمنة.
يمكنك أيضًا إنشاء ملف PEM بنفسك باستخدام OpenSSL. ومع ذلك ، يمكن أن يشكل هذا خطرًا محتملاً على أمان شهادتك لأن صحة أو صحة الأخيرة غير واضحة. أيضًا ، قد يؤدي عدم إمكانية التحقق من شهادتك إلى عدم عملها في بعض التطبيقات والبيئات. لذلك في هذا المثال لشهادة موقعة ذاتيًا ، يمكننا استخدام ملف PEM مزيف ، ولكن ، بالطبع ، هذا غير ممكن في العالم الحقيقي.
في الوقت الحالي ، تخيل ملف PEM باسم myPemKey.pem يأتي من سلطة تصديق رسمية. يمكنك استخدام الأمر التالي لإنشاء ملف PEM لنفسك:
يفتح× 509- متطلب-شا 256-أيام 365 -فيmyCertRequestcsr-SignkeymyPrivateKey.مفتاح-خارجmyPemKey.pem
إذا كان لديك مثل هذا الملف ، فإن الأمر الذي يجب أن تستخدمه لشهادتك الموقعة ذاتيًا سيكون:
يفتح.إملف تنفيذى× 509- متطلب-أيام 365 -فيmyCertRequestcsr-SignkeymyPemKey.pem-خارجmySelfSignedCert.cer
يعني هذا الأمر أن ملف CSR موقّع بمفتاح خاص مسمى myPemKey.pem، صالحة لمدة 365 يومًا. نتيجة لذلك ، تقوم بإنشاء ملف شهادة باسم mySelfSignedCert.cer.
معلومات الشهادة الموقعة ذاتيًا
يمكنك استخدام الأمر التالي للتحقق من المعلومات الموجودة في الشهادة الموقعة ذاتيًا التي قمت بإنشائها:
يفتح.إملف تنفيذى× 509-لا خروج-نص-فيmySelfSignedCert.cer
سيُظهر لك هذا جميع المعلومات الواردة في الشهادة. من الممكن رؤية الكثير من المعلومات مثل معلومات الشركة أو الشخصية والخوارزميات المستخدمة في الشهادة.
ماذا لو لم يتم التوقيع على الشهادات الموقعة ذاتيًا من قبل المرجع المصدق؟
من الضروري تدقيق الشهادات الموقعة ذاتيًا التي تقوم بإنشائها والتأكد من أنها آمنة. عادةً ما يقوم موفر الشهادات من جهة خارجية (أي CA) بهذا. إذا لم يكن لديك شهادة موقعة ومعتمدة من جهة خارجية مصدق ، وكنت تستخدم هذه الشهادة غير المعتمدة ، فستواجه بعض مشكلات الأمان.
يمكن للقراصنة استخدام شهادتك الموقعة ذاتيًا لإنشاء نسخة مزيفة من موقع ويب ، على سبيل المثال. هذا يسمح للمهاجم بسرقة معلومات المستخدمين. يمكنهم أيضًا الحصول على أسماء المستخدمين أو كلمات المرور أو غيرها من المعلومات الحساسة الخاصة بالمستخدمين.
لضمان أمان المستخدمين ، تحتاج مواقع الويب والخدمات الأخرى عادةً إلى استخدام الشهادات المعتمدة بالفعل من قِبل CA. يوفر هذا ضمانًا بأن بيانات المستخدم مشفرة وأنه متصل بالخادم الصحيح.
إنشاء شهادات موقعة ذاتيًا على Windows
كما ترى ، فإن إنشاء شهادة موقعة ذاتيًا على Windows باستخدام OpenSSL أمر بسيط للغاية. لكن ضع في اعتبارك أنك ستحتاج أيضًا إلى موافقة من المراجع المصدقة.
ومع ذلك ، فإن إنشاء مثل هذه الشهادة يُظهر أنك تأخذ أمان المستخدمين على محمل الجد ، مما يعني أنهم سيثقون بك وبموقعك وعلامتك التجارية بشكل عام.