किसी भी प्रमुख प्रमाणपत्र प्राधिकरण (CAs) से SSL प्रमाणपत्र प्राप्त करना $100 और उससे अधिक तक चल सकता है। मिश्रण में जोड़ें, ऐसी खबरें जो यह संकेत देती हैं कि सभी स्थापित सीए पर 100% समय भरोसा नहीं किया जा सकता है और आप अनिश्चितता को दूर करने और अपने स्वयं के प्रमाणपत्र प्राधिकरण के रूप में लागत को मिटाने का निर्णय ले सकते हैं।
कदम
4 का भाग 1 अपना CA प्रमाणपत्र बनाना
चरण 1. निम्न आदेश जारी करके अपने सीए की निजी कुंजी उत्पन्न करें।
-
opensl genrsa -des3 -out server. CA.key 2048
-
विकल्पों की व्याख्या
- ओपनएसएल - सॉफ्टवेयर का नाम
- genrsa - एक नई निजी कुंजी बनाता है
- -des3 - डेस सिफर का उपयोग करके कुंजी को एन्क्रिप्ट करें
- -आउट सर्वर.सीए.की - आपकी नई कुंजी का नाम
- 2048 - निजी कुंजी की लंबाई, बिट्स में (कृपया चेतावनियां देखें)
- इस प्रमाणपत्र और पासवर्ड को सुरक्षित स्थान पर स्टोर करें।
चरण 2. एक प्रमाणपत्र हस्ताक्षर अनुरोध बनाएँ।
-
opensl req -verbose -new -key server. CA.key -out server. CA.csr -sha256
-
विकल्प समझाया:
- अनुरोध - एक हस्ताक्षर अनुरोध बनाता है
- -verbose - आपको अनुरोध के बारे में विवरण दिखाता है क्योंकि इसे बनाया जा रहा है (वैकल्पिक)
- -नया - एक नया अनुरोध बनाता है
- -की सर्वर.सीए.की - निजी कुंजी जिसे आपने अभी ऊपर बनाया है।
- -out server. CA.csr - आपके द्वारा बनाए जा रहे हस्ताक्षर अनुरोध का फ़ाइल नाम
- sha256 - अनुरोध पर हस्ताक्षर करने के लिए उपयोग करने के लिए एन्क्रिप्शन एल्गोरिथ्म (यदि आप नहीं जानते कि यह क्या है, तो इसे न बदलें। आपको इसे केवल तभी बदलना चाहिए जब आप जानते हैं कि आप क्या कर रहे हैं)
चरण 3. यथासंभव जानकारी भरें।
-
देश का नाम (2 अक्षर कोड) [AU]:
हम
-
राज्य या प्रांत का नाम (पूरा नाम) [कुछ-राज्य]:
सीए
-
इलाके का नाम (जैसे, शहर) :
सिलिकॉन वैली
-
संगठन का नाम (जैसे, कंपनी) [इंटरनेट विजेट्स प्राइवेट लिमिटेड]:
विकिहाउ, इंक.
- संगठनात्मक इकाई का नाम (जैसे, अनुभाग) :
-
सामान्य नाम (जैसे, सर्वर FQDN या आपका नाम) :
-
ईमेल पता :
चरण 4. अपने प्रमाणपत्र पर स्व-हस्ताक्षर करें:
-
opensl ca -extensions v3_ca -out server. CA-signed.crt -keyfile server. CA.key -verbose -selfsign -md sha256 -enddate 330630235959Z -infiles server. CA.csr
-
विकल्प समझाया:
- सीए - प्रमाणपत्र प्राधिकरण मॉड्यूल लोड करता है
- -एक्सटेंशन v3_ca - v3_ca एक्सटेंशन को लोड करता है, जो आधुनिक ब्राउज़र में उपयोग के लिए आवश्यक है
- -आउट सर्वर. CA-signed.crt - आपकी नई हस्ताक्षरित कुंजी का नाम
- -keyfile server. CA.key - चरण 1 में आपके द्वारा बनाई गई निजी कुंजी
- -verbose - आपको अनुरोध के बारे में विवरण दिखाता है क्योंकि इसे बनाया जा रहा है (वैकल्पिक)
- -सेल्फसाइन - ओपनएसएल को बताता है कि आप अनुरोध पर हस्ताक्षर करने के लिए उसी कुंजी का उपयोग कर रहे हैं
- -md sha256 - संदेश के लिए उपयोग करने के लिए एन्क्रिप्शन एल्गोरिथम। (यदि आप नहीं जानते कि यह क्या है, तो इसे न बदलें। आपको इसे केवल तभी बदलना चाहिए जब आप जानते हों कि आप क्या कर रहे हैं)
- -अंतिम तिथि 330630235959Z - प्रमाणपत्र की अंतिम तिथि। संकेतन YYMMDDHHMMSSZ है जहां Z GMT में है, जिसे कभी-कभी "ज़ुलु" समय के रूप में जाना जाता है।
- -infiles server. CA.csr - हस्ताक्षर अनुरोध फ़ाइल जिसे आपने ऊपर चरण बनाया है।
चरण 5. अपने सीए प्रमाणपत्र का निरीक्षण करें।
- opensl x509 -noout -text -in server. CA.crt
-
विकल्प समझाया:
- x509 - हस्ताक्षरित प्रमाणपत्रों का निरीक्षण करने के लिए x509 मॉड्यूल लोड करता है।
- -noout - एन्कोडेड टेक्स्ट को आउटपुट न करें
- -पाठ - स्क्रीन पर सूचना का उत्पादन
- -in server. CA.crt - हस्ताक्षरित प्रमाणपत्र लोड करें
- Server. CA.crt फ़ाइल किसी को भी वितरित की जा सकती है जो आपकी वेबसाइट का उपयोग करेगा या उन प्रमाणपत्रों का उपयोग करेगा जिन पर आप हस्ताक्षर करने की योजना बना रहे हैं।
4 का भाग 2: किसी सेवा के लिए SSL प्रमाणपत्र बनाना, जैसे कि Apache
चरण 1. एक निजी कुंजी बनाएँ।
-
Opensl genrsa -des3 -out server.apache.key 2048
-
विकल्प समझाया:
- ओपनएसएल - सॉफ्टवेयर का नाम
- genrsa - एक नई निजी कुंजी बनाता है
- -des3 - डेस सिफर का उपयोग करके कुंजी को एन्क्रिप्ट करें
- -आउट server.apache.key - आपकी नई कुंजी का नाम
- 2048 - निजी कुंजी की लंबाई, बिट्स में (कृपया चेतावनियां देखें)
- इस प्रमाणपत्र और पासवर्ड को सुरक्षित स्थान पर स्टोर करें।
चरण 2. एक प्रमाणपत्र हस्ताक्षर अनुरोध बनाएँ।
-
opensl req -verbose -new -key server.apache.key -out server.apache.csr -sha256
-
विकल्प समझाया:
- अनुरोध - एक हस्ताक्षर अनुरोध बनाता है
- -verbose - आपको अनुरोध के बारे में विवरण दिखाता है क्योंकि इसे बनाया जा रहा है (वैकल्पिक)
- -नया - एक नया अनुरोध बनाता है
- -key server.apache.key - आपके द्वारा अभी ऊपर बनाई गई निजी कुंजी।
- -out server.apache.csr - आपके द्वारा बनाए जा रहे हस्ताक्षर अनुरोध का फ़ाइल नाम
- sha256 - अनुरोध पर हस्ताक्षर करने के लिए उपयोग करने के लिए एन्क्रिप्शन एल्गोरिथ्म (यदि आप नहीं जानते कि यह क्या है, तो इसे न बदलें। आपको इसे केवल तभी बदलना चाहिए जब आप जानते हैं कि आप क्या कर रहे हैं)
चरण 3. नई कुंजी पर हस्ताक्षर करने के लिए अपने सीए प्रमाणपत्र का उपयोग करें।
-
ओपनएसएल सीए-आउट सर्वर.अपाचे.पेम-कीफाइल सर्वर.सीए.की-इनफाइल्स सर्वर.apache.csr
-
विकल्प समझाया:
- सीए - प्रमाणपत्र प्राधिकरण मॉड्यूल लोड करता है
- -आउट server.apache.pem - फ़ाइल नाम हस्ताक्षरित प्रमाणपत्र
- -keyfile server. CA.key - CA प्रमाणपत्र का फ़ाइल नाम जो अनुरोध पर हस्ताक्षर करेगा
- -infiles server.apache.csr - प्रमाणपत्र हस्ताक्षर अनुरोध का फ़ाइल नाम
चरण 4. यथासंभव जानकारी भरें:
-
देश का नाम (2 अक्षर कोड) [AU]:
हम
-
राज्य या प्रांत का नाम (पूरा नाम) [कुछ-राज्य]:
सीए
-
इलाके का नाम (जैसे, शहर) :
सिलिकॉन वैली
-
संगठन का नाम (उदाहरण के लिए, कंपनी) [इंटरनेट विजेट्स प्राइवेट लिमिटेड]:
विकिहाउ, इंक.
- संगठनात्मक इकाई का नाम (जैसे, अनुभाग) :
-
सामान्य नाम (जैसे, सर्वर FQDN या आपका नाम) :
-
ईमेल पता :
चरण 5. अपनी निजी कुंजी की एक प्रति किसी अन्य स्थान पर सहेजें।
अपाचे को पासवर्ड के लिए संकेत देने से रोकने के लिए पासवर्ड के बिना एक निजी कुंजी बनाएं:
-
Opensl rsa -in server.apache.key -out server.apache.unsecured.key
-
विकल्प समझाया:
- आरएसए - आरएसए एन्क्रिप्शन प्रोग्राम चलाता है
- -in server.apache.key - कुंजी नाम जिसे आप कनवर्ट करना चाहते हैं।
- -out server.apache.unsecured.key - नई असुरक्षित कुंजी का फ़ाइल नाम
चरण 6. अपनी apache2.conf फ़ाइल को कॉन्फ़िगर करने के लिए चरण 1 में आपके द्वारा जेनरेट की गई निजी कुंजी के साथ परिणामी server.apache.pem फ़ाइल का उपयोग करें।
भाग ३ का ४: प्रमाणीकरण के लिए एक उपयोगकर्ता प्रमाणपत्र बनाना
चरण 1. _अपाचे के लिए एसएसएल प्रमाणपत्र बनाना_में सभी चरणों का पालन करें।
चरण 2. अपने हस्ताक्षरित प्रमाणपत्र को PKCS12 में बदलें।
opensl pkcs12 -export -in user_cert.pem -inkey user_private_key.pem -out user_cert.p12
भाग 4 का 4: S/MIME ई-मेल प्रमाणपत्र बनाना
चरण 1. एक निजी कुंजी बनाएँ।
opensl genrsa -des3 -out Private_email.key 2048
चरण 2. एक प्रमाणपत्र हस्ताक्षर अनुरोध बनाएँ।
opensl req -new -key private_email.key -out private_email.csr
चरण 3. नई कुंजी पर हस्ताक्षर करने के लिए अपने सीए प्रमाणपत्र का उपयोग करें।
opensl ca -out Private_email.pem -keyfile server. CA.key -infiles Private_email.csr
चरण 4. प्रमाणपत्र को PKCS12 में बदलें।
opensl pkcs12 -निर्यात - Private_email.crt -inkey Private_email.key -out Private_email.p12
चरण 5. वितरण के लिए एक सार्वजनिक कुंजी प्रमाणपत्र बनाएँ।
opensl pkcs12 -export -out public_cert.p12 -private_email.pem -clcerts -nokeys -name "WikiHow's Public Key"
टिप्स
आप निम्न आदेश जारी करके PEM कुंजियों की सामग्री को बदल सकते हैं: Opensl x509 -noout -text -in certificate.pem
चेतावनी
- 1024-बिट कुंजियों को अप्रचलित माना जाता है। 2048-बिट कुंजियों को 2030 तक उपयोगकर्ता प्रमाणपत्रों के लिए सुरक्षित माना जाता है, लेकिन रूट प्रमाणपत्रों के लिए इसे अपर्याप्त माना जाता है। अपने प्रमाणपत्र बनाते समय इन कमजोरियों पर विचार करें।
- डिफ़ॉल्ट रूप से, जब कोई आपकी साइट पर जाता है तो अधिकांश आधुनिक ब्राउज़र "अविश्वसनीय प्रमाणपत्र" चेतावनी दिखाएंगे। इन चेतावनियों के शब्दों पर बहुत बहस हुई है, क्योंकि गैर-तकनीकी उपयोगकर्ताओं को ऑफ-गार्ड पकड़ा जा सकता है। एक प्रमुख प्राधिकरण का उपयोग करना अक्सर सबसे अच्छा होता है ताकि उपयोगकर्ताओं को चेतावनियां न मिलें।