Idealmente, SSL i certificati sono emessi da autorità di certificazione pubblicamente attendibili (ad es. Let's Encrypt , Comodo , Verisign ) per fornire autenticazione e crittografia su Internet. Tuttavia, potresti ottenere un certificato SSL senza passare da un'autorità di certificazione di terze parti:questo è ciò che viene definito certificato autofirmato.
Questo tutorial descrive come generare un certificato SSL autofirmato utilizzando OpenSSL in Linux. OpenSSL è una libreria software open source utilizzata per implementare comunicazioni sicure su Internet.
Come installare OpenSSL in Linux
OpenSSL arriva preinstallato sulle principali distribuzioni Linux e puoi confermare che OpenSSL è installato sulla tua macchina Linux usando il seguente comando.
$ openssl version
Dovresti vedere un output con OpenSSL informazioni sulla versione simili a quanto mostrato nella figura seguente. Sto usando Ubuntu Linux 20.04 .
Se OpenSSL non installato, puoi eseguire il seguente comando per installare OpenSSL in Linux.
$ sudo apt install openssl [On Debian/Ubuntu/Mint] $ sudo yum install openssl [On RHEL/CentOS/Fedora]
Genera certificati SSL autofirmati utilizzando OpenSSL
Dopo aver confermato che openssl strumento è installato, ora sei pronto per generare il tuo certificato autofirmato come segue.
Genera la chiave privata OpenSSL
Innanzitutto, esegui il comando seguente per generare e salvare la tua chiave privata che verrà utilizzata per firmare il certificato SSL. Puoi usare qualsiasi cosa al posto di ubuntu_server .
$ openssl genrsa -out ubuntu_server.key
La tua chiave privata verrà salvata nella directory di lavoro corrente.
Genera richiesta di firma del certificato
Quindi, genera una Richiesta di firma del certificato (RSI ) con il seguente comando. Nota che dovresti specificare il nome corretto della chiave privata che hai generato in precedenza.
$ openssl req -new -key ubuntu_server.key -out ubuntu_server.csr
Durante il processo di generazione di una CSR , ti verrà chiesto di fornire alcune informazioni che saranno associate alla tua richiesta di firma del certificato. La RSI verrà salvato nella directory di lavoro corrente.
Nota :Puoi lasciare alcuni campi vuoti. Ad esempio, i campi sotto "extra ' attributi possono essere lasciati vuoti premendo invio sulla tastiera.
Dopo che la CSR è stata completata con successo, sei pronto per firmare il tuo certificato da solo.
Autofirma il tuo certificato
Esegui il comando seguente per richiedere un certificato autofirmato che sarà valido per 365 giorni. Il x509 opzione si riferisce a X.509 standard internazionale per la creazione e la verifica dei certificati a chiave pubblica. Ricordati di sostituire ubuntu_server a seconda dei casi.
$ openssl x509 -req -days 365 -in ubuntu_server.csr -signkey ubuntu_server.key -out ubuntu_server.crt
Il tuo certificato autofirmato verrà salvato nella directory di lavoro corrente e potrai confermare eseguendo il comando ls.
$ ls
Inoltre, puoi rivedere i dettagli del certificato con il seguente comando.
$ openssl x509 -text -noout -in ubuntu_server.crt
A questo punto, il tuo certificato autofirmato è pronto per essere distribuito nelle tue app o siti web.
Conclusione
In questa guida, abbiamo descritto come generare certificati SSL autofirmati con lo strumento openssl in Linux. Tieni presente che i certificati autofirmati sono considerati non sicuri da tutti i principali browser Web. Pertanto, dovresti probabilmente utilizzare tali certificati solo internamente o per scopi di test e sviluppo.