نظرة عامة #

RELIANOID قادر على إدارة اتصالات HTTPS (ملف تعريف HTTP)، لذا يجب على مسؤول النظام إنشاء شهاداته الخاصة (شهادات موقعة ذاتيًا) أو الحصول على شهادات موقعة بواسطة مرجع مصدق، وفي كلتا الحالتين يجب إنشاء الشهادة بتنسيق PEM.

يجب إنشاء الشهادة الآمنة بدون كلمة مرور ويجب إنشاء المفاتيح وCSR في الخادم ليتم تأمينها.

إيجابيات SSL جاهزة للعمل بتنسيق PEM ولكن يلزم تحويل Rapid SSL حيث يحتوي كل ملف على الشهادة وCA الوسيط وCA الجذري المنفصلين.

متطلبات الدراسة #

يجب تثبيت الحزمة openssl من أجل إنشاء المفاتيح في الخادم، وفي حالتنا ستكون RELIANOID المثيل الذي يجب أن يكون مثبتًا بالفعل.

أولاً، قم بإنشاء المفتاح بدون عبارة المرور.

الجذر@noid-ee-01:~# openssl genrsa -out host_domain_com.key 2048

ثم قم بإنشاء طلب توقيع الشهادة (.csr) باستخدام المفتاح الذي تم إنشاؤه (.key) كمدخل.

الجذر@noid-ee-01:~# opensl req -new -key host_domain_com.key -out host_domain_com.csr

بمجرد تسليم الشهادة وملفات CA المتوسطة، تأكد من الحصول على الشهادة الجذرية لجهة الإصدار.
يجب أن تكون جميع الملفات المنفصلة بتنسيق PEM: شهادة الخادم والشهادة المتوسطة وشهادة الجذر CA. إذا لم يكن كذلك، فقم بتحويل الملف باستخدام الأمر التالي:

الجذر@noid-ee-01:~# openssl x509 -in certFileName.csr -outform PEM -out converterCertFileName.pem

وأخيرًا، لدينا المفتاح الخاص، والشهادة الصادرة، والشهادة المتوسطة، وشهادة المرجع المصدق الجذري. يجب دمج كل محتويات الملف هذه لإنشاء ملف PEM بتنسيق UNIX.

إنشاء شهادة SSL بتنسيق PEM #

لإنشاء شهادة SSL بتنسيق PEM، تحتاج عادةً إلى ملف مفتاح خاصأو المعلم شهادةو شهادة CA المتوسطة (إن وجد)، و أ شهادة المرجع المصدق الجذر. إليك كيفية إنشاء ملف PEM:

تحضير المكونات #

المفتاح الخاص: تأكد من أن لديك المفتاح الخاص المطابق للشهادة.
الشهادة: الحصول على الشهادة الصادرة للمجال أو الخادم الخاص بك.
شهادة CA المتوسطة: إذا تم إصدار شهادتك عن طريق CA وسيط (وليس مباشرة عن طريق CA الجذر)، فسوف تحتاج إلى شهادة CA المتوسطة.
شهادة المرجع المصدق الجذر: قد تحتاج أيضًا إلى شهادة CA الجذر، خاصة إذا لم تكن مدرجة بالفعل في المتجر الموثوق به لتطبيقات العميل أو أجهزته.

قم بتسلسل المكونات #

افتح محرر نصوص أو استخدم أدوات سطر الأوامر لربط المفتاح الخاص والشهادة وشهادة CA المتوسطة (إن أمكن) وشهادة CA الجذرية (إذا لزم الأمر) في ملف PEM واحد، كما هو موضح أدناه.

-----بدء مفتاح RSA الخاص-----المفتاح الخاص (بدون عبارة مرور) -----نهاية مفتاح RSA الخاص---------بدء الشهادة-----الشهادة (CN= www.mydomain.com) ----- الشهادة النهائية ----- شهادة البداية ----- المتوسطة (CA المتوسطة، إن وجدت) ----- الشهادة النهائية ----- -----شهادة البداية-----الجذر (ROOT CA، الذي يوقع الشهادة)----شهادة النهاية-----

ارجع إلى المثال أدناه لمعرفة كيف سيبدو ملف PEM الصحيح.

-----BEGIN RSA PRIVATE KEY-----
uiMTxBQnK9ApC5eq1mrBooECgYB4925pDrTWTbjU8bhb/7BXsjBiesBBVO43pDYL
nUVxhqt4DT+4Vp5S7D9FQ+HagbhVInQXKXtT7FNFhpIxpRy512ElSuWvrELiZOwe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
wYDVR0fBDwwOjA4oDagNIYyaHR0cDovL3JhcGlkc3NsLWNybC5n
DYmhNE0IgXx6XRHiMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsG
gOYD8kmKOsxLRWeZo6Tn8
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
EgYDVR0TAQH/BAgwBgEB/wIBADA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3Js
JAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmdlb3RydXN0LmNvbTANBgkqhkiG9w0B
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV
7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh
1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4
-----END CERTIFICATE-----

من الضروري تحويل ملف PEM بأكمله إلى تنسيق UNIX. هناك شهادة متاحة اسمها zencert.pem or noidcert.pem لأغراض الاختبار من أجل استخدامها مع مزارع ملفات تعريف HTTPS.

التأكد من أن ترتيب الشهادات كما يلي:

1. شهادتك
2. شهادة CA المتوسطة (إن وجدت)
3. شهادة CA الجذر

احفظ ملف PEM المتسلسل #

احفظ ملف PEM المتسلسل بملحق .pem. سيحتوي هذا الملف على المفتاح الخاص وسلسلة الشهادات بأكملها.

استخدم ملف PEM #

يمكنك الآن استخدام ملف PEM في تكوين الخادم الخاص بك. اعتمادًا على برنامج الخادم الخاص بك (على سبيل المثال، Apache، Nginx، RELIANOID)، قد تحتاج إلى تحديد المسار إلى ملف PEM في تكوين SSL. في RELIANOIDما عليك سوى تحميل شهادة SSL باستخدام واجهة المستخدم الرسومية للويب وتعيينها كـ الشهادة مفعلة في أي مزرعة HTTPS.

التحقق من التكوين #

بعد تكوين الخادم الخاص بك لاستخدام ملف PEM، من الضروري التحقق من تكوين SSL/TLS لضمان تقديم سلسلة الشهادات بشكل صحيح للعملاء أثناء تأكيد اتصال SSL. يمكنك استخدام العديد من أدوات اختبار SSL/TLS عبر الإنترنت أو أدوات مساعدة لسطر الأوامر مثل OpenSSL للتحقق من التكوين والتأكد من اكتمال سلسلة الشهادات.

قم بإنشاء شهادة SSL موقعة ذاتيًا بتنسيق PEM #

لإنشاء شهادة SSL موقعة ذاتيًا بتنسيق PEM من موازن التحميل أو الخادم، قم بتنفيذ الخطوات التالية:

1. قم بإنشاء ملفات المفتاح والشهادة باستخدام مفتاح RSA 4096 بت لمدة عام واحد وبدون عبارة مرور باستخدام الأمر التالي:

الجذر@noid-ee-01:~# openssl req -nodes -new -x509 -newkey rsa:4096 -keyout server.key -out server.cert -days 365
إنشاء مفتاح RSA خاص .....................++++ .................... .................................................. .................................................. ...................................++++ كتابة مفتاح خاص جديد إلى "server.key" - ---- أنت على وشك أن يُطلب منك إدخال المعلومات التي سيتم دمجها في طلب الشهادة الخاص بك. ما أنت على وشك إدخاله هو ما يسمى بالاسم المميز أو الاسم المميز (DN). هناك عدد لا بأس به من الحقول ولكن يمكنك ترك بعضها فارغًا. بالنسبة لبعض الحقول ستكون هناك قيمة افتراضية، إذا قمت بإدخال '.'، فسيتم ترك الحقل فارغًا. ----- اسم الدولة (رمز مكون من حرفين) [AU]: اسم الولاية أو المقاطعة (الاسم الكامل) [بعض الولايات]: اسم المنطقة المحلية (على سبيل المثال، مدينة) []: اسم المنظمة (على سبيل المثال، شركة) [أدوات الإنترنت Pty Ltd]: اسم الوحدة التنظيمية (على سبيل المثال، القسم) []: الاسم الشائع (على سبيل المثال FQDN للخادم أو اسمك) []: عنوان البريد الإلكتروني []:

أثناء تنفيذ هذا الأمر، سيُطلب منك إدخال المعلومات بشكل تفاعلي. يرجى تقديم التفاصيل المطلوبة.

2. قم بتسلسل المفتاح والشهادة في ملف PEM باستخدام الأمر التالي:

الجذر@noid-ee-01:~# القط server.key server.cert >> server.pem

يجمع هذا الأمر بين المفتاح والشهادة في ملف PEM واحد.

3. شهادة SSL الموقعة ذاتيًا بتنسيق PEM (server.pem) أصبح الآن جاهزًا للاستخدام مع الخادم الوكيل أو خدمات الويب أو خدمات الإنترنت.

كيفية الاطلاع على محتويات شهادة SSL #

لعرض محتويات شهادة SSL، يمكنك استخدام أدوات وأوامر متنوعة. إحدى الطرق الشائعة هي استخدام OpenSSL، وهي أداة سطر أوامر متعددة الاستخدامات تدعم عمليات التشفير المختلفة، بما في ذلك فحص الشهادات. إليك كيفية عرض محتويات شهادة SSL باستخدام OpenSSL:

أمر OpenSSL للحصول على تفاصيل الشهادة #

افتح نافذة المحطة الطرفية أو موجه الأوامر على نظامك.

استخدم أمر OpenSSL التالي لعرض محتويات شهادة SSL:

الجذر@noid-ee-01:~# opensl x509 -في الشهادة.pem -نص -noout

استبدل شهادة مع المسار إلى ملف شهادة SSL الخاص بك.

إذا كانت شهادتك بتنسيق PEM، فسيعرض هذا الأمر معلومات تفصيلية حول الشهادة، بما في ذلك:

المصدر
الموضوع
فترة الصلاحية (تواريخ البدء والانتهاء)
معلومات المفتاح العام
ملحقات الشهادة
خوارزمية التوقيع
بصمات الأصابع (SHA-1، SHA-256، إلخ.)

بمجرد تشغيل الأمر، سيقوم OpenSSL بإخراج التمثيل النصي لمحتويات الشهادة. قم بمراجعة المعلومات المعروضة للتحقق من تفاصيل الشهادة، مثل جهة الإصدار والموضوع وتواريخ الصلاحية والبيانات الوصفية الأخرى ذات الصلة.

فحص شهادات DER #

إذا كانت شهادتك بتنسيق DER بدلاً من PEM، فيمكنك استخدام خيار -inform der لتحديد تنسيق الإدخال:

الجذر@noid-ee-01:~# openssl x509 -inform der -in Certified.pem -text -noout

يمكنك أيضًا حفظ الإخراج في ملف لمزيد من التحليل أو التوثيق باستخدام إعادة توجيه الصدفة (>):

الجذر@noid-ee-01:~# opensl x509 -في شهادة.pem -نص -noout> شهادة_تفاصيل.txt

سيقوم هذا الأمر بحفظ تفاصيل الشهادة في ملف يسمىcertificate_details.txt.

باستخدام أداة سطر الأوامر OpenSSL، يمكنك بسهولة فحص محتويات شهادة SSL والتحقق من تفاصيلها، مما يساعدك على ضمان أمان وصلاحية اتصالات SSL/TLS الخاصة بك.

التحقق من الوسيط والمرجع المصدق الجذري موجود في شهادة SSL #

يتضمن التحقق من وجود شهادات CA المتوسطة والجذرية في شهادة SSL فحص سلسلة الشهادات. وإليك كيف يمكنك القيام بذلك:

استخدم OpenSSL أو أداة أخرى لعرض تفاصيل شهادة SSL. قم بتشغيل الأمر التالي:

الجذر@noid-ee-01:~# openssl crl2pkcs7 -nocrl -certfile Certified.pem | openssl pkcs7 -print_certs -noout 
subject=CN = mydomain.com source=C = الولايات المتحدة، O = "DigiCert, Inc."، CN = RapidSSL Global TLS RSA4096 SHA256 2022 CA1

في المثال أعلاه، الشهادة فقط موجودة.

الجذر@noid-ee-01:~# openssl crl2pkcs7 -nocrl -certfile Certified.pem | openssl pkcs7 -print_certs -noout 
subject=CN = mydomain.com source=C = الولايات المتحدة، O = "DigiCert, Inc."، CN = RapidSSL Global TLS RSA4096 SHA256 2022 CA1 subject=C = US، O = "DigiCert, Inc."، CN = RapidSSL Global TLS RSA4096 SHA256 2022 CA1 مُصدر = C = الولايات المتحدة، O = DigiCert Inc، OU = www.digicert.com، CN = DigiCert Global Root CA

في المثال أعلاه، كل من الشهادة والوسيط موجودان.

استبدل شهادة.pem بالمسار إلى ملف شهادة SSL الخاص بك.

استخدم أيضًا OpenSSL لعرض سلسلة الشهادات المقدمة من خادم SSL أثناء المصافحة. قم بتشغيل الأمر التالي:

الجذر@noid-ee-01:~# openssl s_client -connect mydomain.com:443 -showcerts

استبدل mydomain.com باسم المجال الخاص بالخادم الذي يدعم SSL والذي تريد الاتصال به.

ابحث عن الأقسام المسماة سلسلة الشهادات أو سلسلة الشهادات (PEER). سيُظهر هذا الشهادات المقدمة من الخادم، بدءًا من شهادة الكيان النهائي وانتهاءً بشهادة CA الجذر.

تحقق من شهادات CA المتوسطة والجذرية عن طريق فحص كل شهادة في السلسلة للتحقق من وجود كل من شهادات CA المتوسطة والجذرية.
شهادة CA المتوسطة: ابحث عن شهادة في السلسلة تطابق مصدر شهادة الكيان النهائي ولكنها تسبقها.
شهادة المرجع المصدق الجذر: تحقق من أن الشهادة الأخيرة في السلسلة هي شهادة CA الجذر.

وبدلاً من ذلك، يمكنك استخدام أدوات التحقق من صحة SSL عبر الإنترنت التي تتحقق تلقائيًا من سلسلة الشهادات وتتحقق من وجود شهادات CA المتوسطة والجذرية. يمكن لأدوات مثل اختبار خادم SSL الخاص بـ SSL Labs أو أداة تشخيص تثبيت SSL الخاصة بـ DigiCert توفير معلومات تفصيلية حول سلسلة الشهادات.

باتباع هذه الخطوات، يمكنك التحقق من وجود شهادات CA المتوسطة والجذرية في شهادة SSL والتأكد من سلامة وأمان اتصالات SSL/TLS الخاصة بك.