Как сгенерировать самоподписанный сертификат с помощью OpenSSL?

Самоподписанные сертификаты могут не пользоваться доверием браузеров и не подходить для реальных сайтов, но они могут быть полезны в тестовых или интранет-средах. Вы можете создать самоподписанный сертификат с помощью OpenSSL. Это быстрый и бесплатный процесс. Все, что Вам нужно сделать, это выполнить несколько команд.

Это руководство покажет Вам, как сгенерировать самоподписанный сертификат с помощью OpenSSL в операционных системах Windows, Linux и Mac. Подход одинаков, независимо от того, какую ОС Вы используете. Итак, давайте начнем!

---

Как создать самоподписанный сертификат

Прежде чем мы обсудим технические аспекты, давайте разберемся в концепции самоподписанных сертификатов. Самоподписанный сертификат – это цифровой сертификат, подписанный его создателем, а не доверенным центром сертификации (ЦС). Хотя самоподписанные сертификаты не поддерживаются внешними организациями, они полезны для внутреннего использования, например, для тестирования, разработки или личных серверов.

В качестве предварительного условия убедитесь, что в Вашей системе установлен OpenSSL. Большинство дистрибутивов Linux поставляются с предустановленным OpenSSL. Пользователи Windows могут загрузить и установить OpenSSL, следуя нашим инструкциям по установке. Чтобы установить OpenSSL на Mac, Вы можете воспользоваться менеджером пакетов Homebrew , выполнив команду “brew install openssl”.

---

Шаг 1: Откройте Терминал или Командную строку

Во-первых, откройте терминал или командную строку. В Linux и Mac Вы можете найти его в папке Applications или Utilities. В Windows найдите “Command Prompt” в меню Пуск.

---

Шаг 2: Перейдите в каталог OpenSSL (необязательно)

Если OpenSSL нет в PATH Вашей системы, перейдите в каталог, где установлен OpenSSL, с помощью команды cd. Например:

cd /path/to/openssl

---

Шаг 3: Сгенерируйте закрытый ключ

Первый шаг – это создание закрытого ключа с помощью OpenSSL. Выполните приведенную ниже команду. Замените private.key на желаемое имя файла.

openssl genpkey -algorithm RSA -out private.key

---

Шаг 4. Сгенерируйте запрос на подписание сертификата (CSR)

Затем сгенерируйте CSR, используя закрытый ключ. CSR – это текстовый блок с контактной информацией о Вашем домене и компании.

openssl req -new -key private.key -out csr.pem

Следуйте подсказкам, чтобы предоставить необходимую информацию, такую как страна, штат, организация и т.д. Введите свое имя, веб-сайт и информацию. Приведенные ниже данные служат лишь для примера.

1. Название страны: Введите двухбуквенный код Вашей страны. Например, США
2. Название штата или провинции: Введите название штата, в котором официально зарегистрирована Ваша организация. Например, Калифорния
3. Название населенного пункта: Введите название населенного пункта или города, в котором находится Ваша компания: Например, Сан-Хосе
4. Название организации: Укажите официальное название Вашей организации: Например, SSL Dragon
5. Имя организационного подразделения: Введите название подразделения в Вашей организации, отвечающего за управление сертификатами SSL. Например, ИТ
6. Общее имя: Введите полное доменное имя (FQDN), которое Вы хотите закрепить, или Ваше имя. Например, ssldragon.com
7. Адрес электронной почты: [email protected]
8. Заданный пароль: yourpassword
9. Необязательное название компании: Вы можете оставить его пустым

---

Шаг 5. Сгенерируйте самоподписанный сертификат

Наконец, создайте самоподписанный сертификат, используя CSR и закрытый ключ:

openssl req -x509 -days 365 -key private.key -in csr.pem -out certificate.crt

Эта команда создает самоподписанный сертификат, действительный в течение 365 дней. Вы можете настроить срок действия по своему усмотрению.

После выполнения команды создания самоподписанного сертификата с помощью OpenSSL, файл сертификата будет создан в директории, где Вы выполнили команду.

В этой команде флаг вывода -out certificate.crt задает имя файла сертификата – certificate.crt. Итак, чтобы найти сгенерированный сертификат, Вы можете заглянуть в ту же директорию, где Вы работали, когда выполняли команду OpenSSL. В качестве альтернативы, если Вы укажете другой путь для выходного файла, Вы найдете сертификат в указанном месте.

---

Вопросы, связанные с получением сертификата

После того, как Вы сгенерировали свой самоподписанный сертификат, необходимо помнить о нескольких моментах:

• Установка сертификата: После генерации сертификата Вы должны установить его на свой сервер или службу. Процесс установки зависит от Вашего приложения или серверного программного обеспечения. Например, в Apache Вы обычно обновляете файл конфигурации SSL, чтобы он указывал на файлы сертификатов.
• Продление сертификата: У самоподписанных сертификатов есть дата истечения срока действия, обычно устанавливаемая в процессе генерации. Очень важно следить за датами истечения срока действия сертификатов и обновлять их до истечения срока действия, чтобы избежать сбоев в работе служб.
• Доверие к сертификату: В отличие от сертификатов, выпущенных доверенными центрами сертификации, самоподписанные сертификаты не вызывают автоматического доверия у веб-браузеров или почтовых клиентов. Пользователи, обращающиеся к службам, защищенным самоподписанными сертификатами, могут столкнуться с предупреждающими сообщениями, в которых им будет предложено подтвердить исключение из правил безопасности. Вот почему самоподписанные подходят для целей разработки, а не для реального производства.

---

Нижняя линия

В этом руководстве мы рассказали, как сгенерировать самоподписанный сертификат с помощью OpenSSL. Шаги и командные строки идентичны независимо от того, создаете ли Вы самоподписанный сертификат в Linux или Windows.
Мы также обсудили вопросы, связанные с созданием сертификата после его получения, чтобы обеспечить бесперебойное внедрение и работу. Хотя самоподписанные сертификаты полезны для внутренних целей, не забывайте приобретать доверенные SSL-сертификаты для производственных сред, где требуется проверка третьей стороной.