Home-theater-designers
SSL/TLS-Zertifikate sind für die Sicherung Ihrer Webanwendung oder Ihres Servers unerlässlich. Während mehrere zuverlässige Zertifizierungsstellen kostenpflichtige SSL/TLS-Zertifikate anbieten, ist es auch möglich, mit OpenSSL ein selbstsigniertes Zertifikat zu erstellen. Auch wenn selbstsignierte Zertifikate nicht von einer vertrauenswürdigen Stelle bestätigt werden, können sie dennoch Ihren Webverkehr verschlüsseln. Wie können Sie also mit OpenSSL ein selbstsigniertes Zertifikat für Ihre Website oder Ihren Server generieren?
So formatieren Sie ein Flash-LaufwerkMAKEUSEOF-VIDEO DES TAGES Scrollen Sie, um mit dem Inhalt fortzufahren
So installieren Sie OpenSSL
OpenSSL ist Open-Source-Software. Wenn Sie jedoch keinen Programmierhintergrund haben und sich Sorgen über Build-Prozesse machen, ist die technische Einrichtung etwas komplizierter. Um dies zu vermeiden, können Sie die neueste Version des OpenSSL-Codes, vollständig kompiliert und zur Installation bereit, von herunterladen slprowebs Website .
Wählen Sie hier die für Ihr System passende MSI-Erweiterung der neuesten OpenSSL-Version aus.
Betrachten Sie als Beispiel OpenSSL unter D:\OpenSSL-Win64 . Sie können dies ändern. Wenn die Installation abgeschlossen ist, Öffnen Sie PowerShell als Administrator und navigieren Sie zum genannten Unterordner Behälter in dem Ordner, in dem Sie OpenSSL installiert haben. Verwenden Sie dazu den folgenden Befehl:
cd 'D:\OpenSSL-Win64\bin'
Sie haben jetzt Zugriff auf openssl.exe und können es ausführen, wie Sie möchten.
Generieren Sie Ihren privaten Schlüssel mit OpenSSL
Um ein selbstsigniertes Zertifikat zu erstellen, benötigen Sie einen privaten Schlüssel. Im selben bin-Ordner können Sie diesen privaten Schlüssel erstellen, indem Sie nach dem Öffnen als Administrator den folgenden Befehl in PowerShell eingeben.
openssl.exe genrsa -des3 -out myPrivateKey.key 2048
Dieser Befehl generiert einen 2048 Bit langen, 3DES-verschlüsselten privaten RSA-Schlüssel über OpenSSL. OpenSSL fordert Sie auf, ein Passwort einzugeben. Sie sollten a verwenden starkes und einprägsames Passwort . Nachdem Sie zweimal dasselbe Passwort eingegeben haben, haben Sie Ihren privaten RSA-Schlüssel erfolgreich generiert.
Ihren privaten RSA-Schlüssel finden Sie unter dem Namen myPrivateKey.key .
So erstellen Sie eine CSR-Datei mit OpenSSL
Der von Ihnen erstellte private Schlüssel allein reicht nicht aus. Darüber hinaus benötigen Sie eine CSR-Datei, um ein selbstsigniertes Zertifikat zu erstellen. Um diese CSR-Datei zu erstellen, müssen Sie einen neuen Befehl in PowerShell eingeben:
openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr
OpenSSL fragt hier auch nach dem Passwort, das Sie eingegeben haben, um den privaten Schlüssel zu generieren. Darüber hinaus werden Ihre rechtlichen und persönlichen Daten abgefragt. Achten Sie darauf, dass Sie diese Informationen korrekt eingeben.
Darüber hinaus ist es möglich, alle bisherigen Vorgänge über eine einzige Befehlszeile durchzuführen. Wenn Sie den folgenden Befehl verwenden, können Sie sowohl Ihren privaten RSA-Schlüssel als auch die CSR-Datei gleichzeitig generieren:
openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
Sie können nun die benannte Datei sehen myCertRequest.csr im entsprechenden Verzeichnis. Diese von Ihnen erstellte CSR-Datei enthält einige Informationen über:
- Die Institution, die das Zertifikat anfordert.
- Allgemeiner Name (d. h. Domänenname).
- Öffentlicher Schlüssel (für Verschlüsselungszwecke).
Die von Ihnen erstellten CSR-Dateien müssen von bestimmten Behörden überprüft und genehmigt werden. Dazu müssen Sie die CSR-Datei direkt an die Zertifizierungsstelle oder andere zwischengeschaltete Institutionen senden.
Diese Behörden und Maklerhäuser prüfen abhängig von der Art des gewünschten Zertifikats, ob die von Ihnen gemachten Angaben korrekt sind. Möglicherweise müssen Sie einige Dokumente auch offline senden (Fax, Post usw.), um zu überprüfen, ob die Informationen richtig sind.
Erstellung eines Zertifikats durch eine Zertifizierungsstelle
Wenn Sie die von Ihnen erstellte CSR-Datei an eine gültige Zertifizierungsstelle senden, signiert die Zertifizierungsstelle die Datei und sendet das Zertifikat an die anfordernde Institution oder Person. Dabei erstellt die Zertifizierungsstelle (auch CA genannt) aus den CSR- und RSA-Dateien auch eine PEM-Datei. Die PEM-Datei ist die letzte Datei, die für ein selbstsigniertes Zertifikat benötigt wird. Diese Stufen stellen das sicher SSL-Zertifikate bleiben organisiert, zuverlässig und sicher .
Sie können eine PEM-Datei auch selbst mit OpenSSL erstellen. Dies kann jedoch ein potenzielles Risiko für die Sicherheit Ihres Zertifikats darstellen, da dessen Echtheit oder Gültigkeit nicht eindeutig ist. Außerdem kann die Tatsache, dass Ihr Zertifikat nicht überprüfbar ist, dazu führen, dass es in einigen Anwendungen und Umgebungen nicht funktioniert. Für dieses Beispiel eines selbstsignierten Zertifikats können wir also eine gefälschte PEM-Datei verwenden, aber das ist im realen Einsatz natürlich nicht möglich.
Stellen Sie sich zunächst eine PEM-Datei mit dem Namen vor myPemKey.pem stammt von einer offiziellen Zertifizierungsstelle. Mit dem folgenden Befehl können Sie eine PEM-Datei für sich selbst erstellen:
openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem
Wenn Sie eine solche Datei hätten, wäre der Befehl, den Sie für Ihr selbstsigniertes Zertifikat verwenden sollten:
openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer
Dieser Befehl bedeutet, dass die CSR-Datei mit einem privaten Schlüssel namens signiert wird myPemKey.pem , gültig für 365 Tage. Als Ergebnis erstellen Sie eine Zertifikatsdatei mit dem Namen mySelfSignedCert.cer .
Informationen zum selbstsignierten Zertifikat
Mit dem folgenden Befehl können Sie die Informationen auf dem von Ihnen erstellten selbstsignierten Zertifikat überprüfen:
openssl.exe x509 -noout -text -in mySelfSignedCert.cer
Hier werden Ihnen alle im Zertifikat enthaltenen Informationen angezeigt. Es ist möglich, viele Informationen wie das Unternehmen oder persönliche Informationen sowie die im Zertifikat verwendeten Algorithmen einzusehen.
Was passiert, wenn selbstsignierte Zertifikate nicht von der Zertifizierungsstelle signiert werden?
Es ist wichtig, die von Ihnen erstellten selbstsignierten Zertifikate zu prüfen und zu bestätigen, dass sie sicher sind. In der Regel wird dies von einem externen Zertifikatsanbieter (z. B. einer Zertifizierungsstelle) durchgeführt. Wenn Sie kein von einer Zertifizierungsstelle eines Drittanbieters signiertes und genehmigtes Zertifikat haben und dieses nicht genehmigte Zertifikat verwenden, treten einige Sicherheitsprobleme auf.
Hacker können Ihr selbstsigniertes Zertifikat beispielsweise verwenden, um eine gefälschte Kopie einer Website zu erstellen. Dies ermöglicht es einem Angreifer, Benutzerinformationen zu stehlen. Sie können auch an die Benutzernamen, Passwörter oder andere vertrauliche Informationen Ihrer Benutzer gelangen.
Um die Sicherheit der Benutzer zu gewährleisten, müssen Websites und andere Dienste in der Regel Zertifikate verwenden, die tatsächlich von einer Zertifizierungsstelle zertifiziert sind. Dadurch wird sichergestellt, dass die Daten des Benutzers verschlüsselt sind und eine Verbindung zum richtigen Server herstellen.
Text-zu-Sprache-Apps für Android
Erstellen selbstsignierter Zertifikate unter Windows
Wie Sie sehen, ist die Erstellung eines selbstsignierten Zertifikats unter Windows mit OpenSSL ganz einfach. Beachten Sie jedoch, dass Sie auch die Genehmigung der Zertifizierungsstellen benötigen.
Nichtsdestotrotz zeigt die Ausstellung eines solchen Zertifikats, dass Sie die Sicherheit der Benutzer ernst nehmen, was bedeutet, dass sie Ihnen, Ihrer Website und Ihrer Marke insgesamt mehr vertrauen.