Come creare un certificato autofirmato con OpenSSL

Come creare un certificato autofirmato con OpenSSL
I lettori come te aiutano a sostenere MUO. Quando effettui un acquisto utilizzando i link sul nostro sito, potremmo guadagnare una commissione di affiliazione. Per saperne di più.

I certificati SSL/TLS sono essenziali per proteggere la tua applicazione web o il tuo server. Mentre diverse autorità di certificazione affidabili forniscono certificati SSL/TLS a pagamento, è anche possibile generare un certificato autofirmato utilizzando OpenSSL. Anche se i certificati autofirmati non hanno l'approvazione di un'autorità attendibile, possono comunque crittografare il tuo traffico web. Quindi, come puoi utilizzare OpenSSL per generare un certificato autofirmato per il tuo sito Web o server?





MAKEUSEOF VIDEO DEL GIORNO SCORRI PER CONTINUARE CON I CONTENUTI

Come installare OpenSSL

OpenSSL è un software open source. Ma se non hai un background di programmazione e sei preoccupato per i processi di compilazione, ha un po' di configurazione tecnica. Per evitare ciò, è possibile scaricare l'ultima versione del codice di OpenSSL, completamente compilata e pronta per l'installazione, da sito di slproweb .



Qui, seleziona l'estensione MSI dell'ultima versione di OpenSSL adatta al tuo sistema.





Schermata dal sito Web slproweb per il download di OpenSSL

Ad esempio, considera OpenSSL a D:\OpenSSL-Win64 . Puoi cambiare questo. Se l'installazione è completa, apri PowerShell come amministratore e vai alla sottocartella denominata bidone nella cartella in cui hai installato OpenSSL. Per fare ciò, utilizzare il seguente comando:

film gratis senza creare un account 
 cd 'D:\OpenSSL-Win64\bin'

Ora hai accesso a openssl.exe e puoi eseguirlo come vuoi.



Eseguendo il comando version per vedere se openssl è installato

Genera la tua chiave privata con OpenSSL

Avrai bisogno di una chiave privata per creare un certificato autofirmato. Nella stessa cartella bin, puoi creare questa chiave privata inserendo il seguente comando in PowerShell dopo aver aperto come amministratore.

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

Questo comando genererà una chiave privata RSA crittografata con 3DES lunga 2048 bit tramite OpenSSL. OpenSSL ti chiederà di inserire una password. Dovresti usare un password forte e memorabile . Dopo aver inserito due volte la stessa password, avrai generato con successo la tua chiave privata RSA.



Output del comando utilizzato per generare la chiave RSA

Puoi trovare la tua chiave RSA privata con il nome myPrivateKey.key .

Come creare un file CSR con OpenSSL

La chiave privata che crei non sarà sufficiente da sola. Inoltre, è necessario un file CSR per creare un certificato autofirmato. Per creare questo file CSR, devi inserire un nuovo comando in PowerShell:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL chiederà anche la password inserita per generare qui la chiave privata. Richiederà inoltre le tue informazioni legali e personali. Fai attenzione a inserire correttamente queste informazioni.

Output del comando utilizzato per generare il file CSR

Inoltre, è possibile eseguire tutte le operazioni fino ad ora con un'unica riga di comando. Se utilizzi il comando seguente, puoi generare contemporaneamente sia la tua chiave RSA privata che il file CSR:

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Output del comando utilizzato per creare file RSA e CSR in una volta sola

Ora sarai in grado di vedere il file denominato myCertRequest.csr nella relativa directory. Questo file CSR che crei contiene alcune informazioni su:

il mio disco rigido esterno non funziona
  • L'ente che richiede il certificato.
  • Nome comune (ovvero nome di dominio).
  • Chiave pubblica (a scopo di crittografia).

I file CSR che crei devono essere esaminati e approvati da determinate autorità. Per questo, è necessario inviare il file CSR direttamente all'autorità di certificazione o ad altre istituzioni intermediarie.

Queste autorità e società di intermediazione esaminano se le informazioni fornite sono corrette, a seconda della natura del certificato desiderato. Potrebbe anche essere necessario inviare alcuni documenti offline (fax, posta, ecc.) per dimostrare se le informazioni sono corrette.

Preparazione del certificato da parte di un'autorità di certificazione

Quando si invia il file CSR creato a un'autorità di certificazione valida, l'autorità di certificazione firma il file e invia il certificato all'istituzione o alla persona richiedente. In tal modo, l'autorità di certificazione (nota anche come CA) crea anche un file PEM dai file CSR e RSA. Il file PEM è l'ultimo file richiesto per un certificato autofirmato. Queste fasi lo garantiscono I certificati SSL rimangono organizzati, affidabili e sicuri .

Puoi anche creare tu stesso il file PEM con OpenSSL. Tuttavia, ciò può rappresentare un potenziale rischio per la sicurezza del certificato perché l'autenticità o la validità di quest'ultimo non è chiara. Inoltre, il fatto che il certificato non sia verificabile potrebbe impedirne il funzionamento in alcune applicazioni e ambienti. Quindi, per questo esempio di certificato autofirmato, possiamo usare un file PEM falso, ma, ovviamente, questo non è possibile nell'uso reale.

Per ora, immagina un file PEM denominato myPemKey.pem proviene da un'autorità di certificazione ufficiale. Puoi utilizzare il seguente comando per creare un file PEM per te stesso:

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

Se avessi un file di questo tipo, il comando che dovresti usare per il tuo certificato autofirmato sarebbe:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

Questo comando indica che il file CSR è firmato con una chiave privata denominata myPemKey.pem , valido per 365 giorni. Di conseguenza, crei un file di certificato denominato mySelfSignedCert.cer .

cosa fare sul computer quando sei annoiato
Immagine che il certificato autofirmato esiste nella cartella

Informazioni sul certificato autofirmato

È possibile utilizzare il seguente comando per controllare le informazioni sul certificato autofirmato creato:

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

Questo ti mostrerà tutte le informazioni contenute nel certificato. È possibile visualizzare molte informazioni come l'azienda o le informazioni personali e gli algoritmi utilizzati nel certificato.

Cosa succede se i certificati autofirmati non sono firmati dall'autorità di certificazione?

È essenziale controllare i certificati autofirmati creati e confermare che siano sicuri. Un fornitore di certificati di terze parti (ovvero una CA) di solito lo fa. Se non si dispone di un certificato firmato e approvato da un'autorità di certificazione di terze parti e si utilizza questo certificato non approvato, si verificheranno alcuni problemi di sicurezza.

Ad esempio, gli hacker possono utilizzare il tuo certificato autofirmato per creare una copia falsa di un sito web. Ciò consente a un utente malintenzionato di rubare le informazioni degli utenti. Possono anche impossessarsi dei nomi utente, delle password o di altre informazioni riservate dei tuoi utenti.

Per garantire la sicurezza degli utenti, i siti Web e altri servizi in genere devono utilizzare certificati effettivamente certificati da una CA. Ciò garantisce che i dati dell'utente siano crittografati e che si stiano connettendo al server corretto.

Creazione di certificati autofirmati su Windows

Come puoi vedere, creare un certificato autofirmato su Windows con OpenSSL è abbastanza semplice. Ma tieni presente che avrai anche bisogno dell'approvazione delle autorità di certificazione.

Tuttavia, creare un certificato di questo tipo dimostra che prendi sul serio la sicurezza degli utenti, il che significa che si fideranno maggiormente di te, del tuo sito e del tuo marchio in generale.