আমি কীভাবে স্ব-স্বাক্ষরিত SSL শংসাপত্র তৈরি করব?


64

আমি আমার ওয়েবসারভারে এসএসএল স্থাপন করেছি, এখন আমার দুটি ফাইল দরকার:

  • একটি সার্টিফিকেট
  • একটি শংসাপত্র কী

আমি কীভাবে পরীক্ষার উদ্দেশ্যে স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করব?

উত্তর:


93

উবুন্টু এমনকি 'সর্বনিম্ন' স্বাদটি ssl-certপ্যাকেজটি প্রাক ইনস্টলড নিয়ে আসে , যার অর্থ আপনার কিছু করার দরকার নেই।

আপনি যে ফাইলগুলি সন্ধান করছেন সেগুলি ইতিমধ্যে আপনার সিস্টেমে রয়েছে:

/etc/ssl/certs/ssl-cert-snakeoil.pem
/etc/ssl/private/ssl-cert-snakeoil.key


উন্নত:

যদি কোনও কারণে আপনাকে নতুন করে শংসাপত্র তৈরি করতে হয় তবে আপনি চালাতে পারেন

sudo make-ssl-cert generate-default-snakeoil --force-overwrite 

আপনি যদি নিজের শংসাপত্রের মেয়াদোত্তীকরণের তারিখটি পরিবর্তন করতে চান তবে আপনি এখানে মেক-এসএসএল-সার্টি স্ক্রিপ্ট ম্যানিপুলেট করতে পারেন /usr/sbin/make-ssl-cert। প্রায় 124 এর মতো একটি লাইন এর অনুরূপ:

openssl req -config $TMPFILE -new -x509 -nodes \ 

আপনি -daysআর্গুমেন্ট যোগ করে মেয়াদ শেষ হওয়ার তারিখটি পরিবর্তন করতে পারেন :

openssl req -config $TMPFILE -new -days 365 -x509 -nodes \ 

এর ম্যানুয়াল পৃষ্ঠায়req আরও বিকল্পগুলি পাওয়া যাবে ।


10
উবুন্টু-সার্ভার 12.04 (এএমআই ক্লাউড ইমেজ) এর ডিফল্টরূপে এসএসএল-সার্টি ইনস্টল নেই। তবে একবার ssl-cert ইনস্টল হয়ে গেলে - /etc/ssl/certs/ssl-cert-snakeoil.pem স্বয়ংক্রিয়ভাবে উপলব্ধ হয়ে যায়।
Stann

মেক-এসএসএল-সার্টিটি ব্যবহার করতে মূল দৈর্ঘ্য (এবং অন্যান্য সেটিংস) নেয় /usr/share/ssl-cert/ssleay.cnf
টিম স্মিথ

কোনও স্থানীয় যোদ্ধা ভিএম উদাহরণে কোনও ওয়েবসাইট পরীক্ষা করার চেষ্টা করার সময়, আমি গুগল ক্রোমকে এমনভাবে কাজ করতে চেয়েছিলাম যেন এটি একটি সম্পূর্ণ সাধারণ শংসাপত্র। আমাকে ভিএম সিএলআই- www.test.mydomain.comএর hostnameকমান্ডটি ব্যবহার করে পরীক্ষার ইউআরএল (উদাহরণস্বরূপ ) মেলাতে প্রথমে ভিএম এর হোস্টনামটি সেট করতে হয়েছিল । তারপরে আপনার পরামর্শ অনুসারে কীটি পুনরায় জেনারেট করা --force-overwrite, এর চাবির সাধারণ নাম (সিএন) এর পরে পরীক্ষার ইউআরএলের সাথে মেলে। পরিশেষে, হোস্ট মেশিনে, কোনও বিশ্বস্ত রুট শংসাপত্র কর্তৃপক্ষ হিসাবে (ক্রোমের সেটিংস / অ্যাডভান্সডে) কীটি ইনস্টল করা আমাকে লোভনীয় সবুজ ঠিকানা বার দেয়।
বাটল বাটকাস

1
আমার 9 বছর বয়সী সার্টিটি ডেবিয়ান 10 এ আমার আপগ্রেডের সাথে কাজ করা বন্ধ করে দিয়েছে, তাই make-ssl-certআদেশটি আমার জন্য দিনটি বাঁচিয়েছিল!
জয়েন

23

ইতিমধ্যে উল্লিখিত হিসাবে, উবুন্টু সার্ভার প্রয়োজনীয় সরঞ্জামগুলি নিয়ে আসে। আপনার সার্ভার সংস্করণ উপর নির্ভর করে আপনাকে নির্দিষ্ট ডকুমেন্টেশন সন্ধান করতে হবে । আমি বর্তমান এলটিএস (12.04) এর স্ব-স্বাক্ষরিত শংসাপত্র তৈরির প্রক্রিয়াটি সংক্ষিপ্ত করার চেষ্টা করব ।

প্রথমে আপনি শংসাপত্র স্বাক্ষর করার অনুরোধের (সিএসআর) কীগুলি তৈরি করেন:

openssl genrsa -des3 -out server.key 2048

একটি পাসফ্রেজ প্রবেশ করানো আপনার পক্ষে নয় up আপনি যদি করেন, প্রতিবার আপনি (পুনরায়) কোনও পরিষেবা শুরু করেন যে শংসাপত্রটি ব্যবহার করে, আপনাকে পাসফ্রেজ সরবরাহ করতে হবে। Otoh আপনি সুরক্ষিত থেকে কোনও পাসফ্রেজ ছাড়াই একটি "অনিরাপদ" কী তৈরি করতে পারেন:

openssl rsa -in server.key -out server.key.insecure
# shuffle the key names to continue without passphrases
mv server.key server.key.secure
mv server.key.insecure server.key

এবং এখন আপনি কী থেকে সিএসআর তৈরি করবেন। সিএসআর এবং কী দিয়ে একটি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করা যেতে পারে:

openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

সর্বশেষ পদক্ষেপটি শংসাপত্র এবং কীটি ইনস্টল করে ডিবিয়ান / উবুন্টুতে সাধারণত থাকে /etc/ssl:

sudo cp server.crt /etc/ssl/certs
sudo cp server.key /etc/ssl/private

এবং অবশেষে শংসাপত্র / কী ব্যবহার করে অ্যাপ্লিকেশনগুলিকে সেই অনুযায়ী কনফিগার করতে হবে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.