Mostre aos visitantes do seu site que você leva a segurança deles muito a sério criando seu próprio certificado SSL usando o OpenSSL.

Os certificados SSL/TLS são essenciais para proteger seu aplicativo ou servidor da web. Embora várias autoridades de certificação confiáveis ​​forneçam certificados SSL/TLS por um custo, também é possível gerar um certificado autoassinado usando o OpenSSL. Mesmo que os certificados autoassinados não tenham o endosso de uma autoridade confiável, eles ainda podem criptografar seu tráfego da web. Então, como você pode usar o OpenSSL para gerar um certificado autoassinado para seu site ou servidor?

Como instalar o OpenSSL

OpenSSL é um software de código aberto. Mas se você não tem experiência em programação e está preocupado com os processos de construção, ele tem um pouco de configuração técnica. Para evitar isso, você pode baixar a versão mais recente do código OpenSSL, totalmente compilado e pronto para instalar, de site do slproweb.

Aqui, selecione a extensão MSI da versão mais recente do OpenSSL adequada ao seu sistema.

instagram viewer

Como exemplo, considere o OpenSSL em D:\OpenSSL-Win64. Você pode mudar isso. Se a instalação estiver concluída, abra o PowerShell como administrador e navegue até a subpasta chamada lixeira na pasta onde você instalou o OpenSSL. Para fazer isso, use o seguinte comando:

cd'D:\OpenSSL-Win64\bin'

Agora você tem acesso a openssl.exe e pode executá-lo como quiser.

Gere sua chave privada com OpenSSL

Você precisará de uma chave privada para criar um certificado autoassinado. Na mesma pasta bin, você pode criar essa chave privada inserindo o seguinte comando no PowerShell depois de abrir como administrador.

openssl.exegenrsa-des3-foramyPrivateKey.chave 2048

Este comando irá gerar uma chave privada RSA criptografada em 3DES de 2.048 bits via OpenSSL. O OpenSSL solicitará que você digite uma senha. Você deve usar um senha forte e memorável. Depois de inserir a mesma senha duas vezes, você terá gerado com sucesso sua chave privada RSA.

Você pode encontrar sua chave RSA privada com o nome myPrivateKey.key.

Como criar um arquivo CSR com OpenSSL

A chave privada que você criar não será suficiente por si só. Além disso, você precisa de um arquivo CSR para criar um certificado autoassinado. Para criar este arquivo CSR, você precisa inserir um novo comando no PowerShell:

openssl.exepedido-novo-chavemyPrivateKey.chave-foramyCertRequest.csr

O OpenSSL também solicitará a senha que você digitou para gerar a chave privada aqui. Além disso, solicitará suas informações legais e pessoais. Tenha cuidado para inserir essas informações corretamente.

Além disso, é possível fazer todas as operações até agora com uma única linha de comando. Se você usar o comando abaixo, poderá gerar sua chave RSA privada e o arquivo CSR de uma só vez:

openssl.exepedido-novo-newkeyrsa:2048-nós-keyoutminhaPrivateKey2.chave-foramyCertRequest2.csr

Agora você poderá ver o arquivo chamado myCertRequest.csr no diretório relevante. Este arquivo CSR que você criou contém algumas informações sobre:

  • A instituição que solicita o certificado.
  • Nome comum (ou seja, nome de domínio).
  • Chave pública (para fins de criptografia).

Os arquivos CSR que você cria precisam ser revisados ​​e aprovados por certas autoridades. Para isso, você precisa enviar o arquivo CSR diretamente para a autoridade certificadora ou outras instituições intermediárias.

Essas autoridades e corretoras examinam se as informações que você fornece estão corretas, dependendo da natureza do certificado que você deseja. Você também pode precisar enviar alguns documentos off-line (fax, correio, etc.) para provar se as informações estão corretas.

Preparação do Certificado por uma Autoridade de Certificação

Quando você envia o arquivo CSR criado para uma autoridade de certificação válida, a autoridade de certificação assina o arquivo e envia o certificado para a instituição ou pessoa solicitante. Ao fazer isso, a autoridade de certificação (também conhecida como CA) também cria um arquivo PEM a partir dos arquivos CSR e RSA. O arquivo PEM é o último arquivo necessário para um certificado autoassinado. Essas etapas garantem que Os certificados SSL permanecem organizados, confiáveis ​​e seguros.

Você também pode criar o arquivo PEM com o OpenSSL. No entanto, isso pode representar um risco potencial para a segurança do seu certificado porque a autenticidade ou validade do mesmo não é clara. Além disso, o fato de seu certificado não ser verificável pode fazer com que ele não funcione em alguns aplicativos e ambientes. Portanto, para este exemplo de certificado autoassinado, podemos usar um arquivo PEM falso, mas, claro, isso não é possível no uso no mundo real.

Por enquanto, imagine um arquivo PEM chamado myPemKey.pem vem de uma autoridade de certificação oficial. Você pode usar o seguinte comando para criar um arquivo PEM para você:

opensslx509-req-sha256-dias 365 -emmyCertRequest.csr-signkeymyPrivateKey.chave-foramyPemKey.pem

Se você tivesse esse arquivo, o comando que deveria usar para seu certificado autoassinado seria:

openssl.exex509-req-dias 365 -emmyCertRequest.csr-signkeymyPemKey.pem-foramySelfSignedCert.cer

Este comando significa que o arquivo CSR é assinado com uma chave privada chamada myPemKey.pem, válido por 365 dias. Como resultado, você cria um arquivo de certificado chamado mySelfSignedCert.cer.

Informações de certificado autoassinado

Você pode usar o seguinte comando para verificar as informações no certificado autoassinado que você criou:

openssl.exex509-noout-texto-emmySelfSignedCert.cer

Isso mostrará todas as informações contidas no certificado. É possível ver muitas informações como a empresa ou informações pessoais e os algoritmos usados ​​no certificado.

E se os certificados autoassinados não forem assinados pela autoridade de certificação?

É essencial auditar os certificados autoassinados que você cria e confirmar se eles são seguros. Um provedor de certificados de terceiros (ou seja, uma CA) geralmente faz isso. Se você não tiver um certificado assinado e aprovado por uma autoridade de certificação terceirizada e usar esse certificado não aprovado, terá alguns problemas de segurança.

Os hackers podem usar seu certificado autoassinado para criar uma cópia falsa de um site, por exemplo. Isso permite que um invasor roube as informações dos usuários. Eles também podem obter os nomes de usuário, senhas ou outras informações confidenciais de seus usuários.

Para garantir a segurança dos usuários, sites e outros serviços geralmente precisam usar certificados que são realmente certificados por uma CA. Isso fornece uma garantia de que os dados do usuário estão criptografados e conectados ao servidor correto.

Criando certificados autoassinados no Windows

Como você pode ver, criar um certificado autoassinado no Windows com OpenSSL é bastante simples. Mas lembre-se de que você também precisará da aprovação das autoridades de certificação.

No entanto, fazer esse certificado mostra que você leva a segurança dos usuários a sério, o que significa que eles confiarão mais em você, em seu site e em sua marca em geral.