अपना खुद का सर्टिफिकेट अथॉरिटी और सिक्योर स्पिकवर्क कैसे बनें - कैसे

अपना खुद का सर्टिफिकेट अथॉरिटी और सिक्योर स्पिकवर्क कैसे बनें

यह कैसे-माना कि आप SSL के माध्यम से इसे सुरक्षित करने के लिए Spiceworks में उपयोग करने के लिए एक स्व-हस्ताक्षरित प्रमाणपत्र बनाना चाहते हैं।
परिणाम एक सर्टिफिकेट फ़ाइल होगी जिसे आप अपने यूज़र्स कंप्यूटर पर तैनात कर सकते हैं जिसमें CA रूट सर्टिफ़िकेट और SSL प्रमाणपत्र दोनों आपके CA सर्टिफ़िकेट द्वारा हस्ताक्षरित हैं, जिसका अर्थ है कि उपयोगकर्ता बिना सर्टिफ़िकेट त्रुटि प्राप्त किए और बिना SSL के माध्यम से कनेक्ट कर पाएंगे। एक उचित प्रमाण पत्र पर पैसा खर्च करने के लिए।

ये केवल LAN वातावरण में उपयोग करने के लिए उपयुक्त हैं जहाँ आप इन्हें मैन्युअल रूप से या GPO के माध्यम से तैनात कर सकते हैं, यदि आप बाहरी रूप से सामना करने वाली साइट के लिए इनका उपयोग करते हैं तो बिना CA सर्टिफ़िकेट के किसी को भी अधिकांश आधुनिक ब्राउज़रों से चेतावनी संदेश प्राप्त होगा।

कुल 8 चरण

चरण 1: ओपनएसएसएल स्थापित करें

हमारे प्रमाणपत्र बनाने के लिए हमें ओपनएसएसएल का उपयोग करने की आवश्यकता है, ओपनएसएसएल का उपयोग करने का सबसे आसान तरीका साइगविन का उपयोग करना है जो हमें विंडोज के अंदर एक लिनक्स जैसा वातावरण देता है, यह हमें सभी लिनक्स आधारित गाइड का उपयोग करने में सक्षम होने का लाभ देता है। गलत हो जाता है या यदि आप एक अलग प्रकार का प्रमाण पत्र बनाना चाहते हैं और इसके लिए एक मार्गदर्शिका की आवश्यकता होती है (अधिकांश ओपनएसएसएल गाइड लिनक्स के लिए हैं)। यदि आप बहादुर महसूस कर रहे हैं, तो ओपनएसएसएल के विंडोज बिल्ड उपलब्ध हैं, लेकिन उन्हें कॉन्फ़िगर करने की आवश्यकता होगी (ओपनएसएसएल की एक कॉपी भी स्पिकवर्क के साथ ही भेज दी जाती है, लेकिन यह अपने सभी फ़ोल्डरों को गायब कर रहा है और फाइल को कॉन्फ़िगर कर रहा है इसलिए यहां उपयोग के लिए आदर्श नहीं है)।

सिगविन इंस्टॉलर: http://www.cygwin.com/

जब आप Cygwin स्थापित करते हैं, तो आपको OpenSSL को स्थापित करने के लिए यह बताना होगा (यदि आप भूल जाते हैं, तो चिंता न करें, आप सेटअप प्रोग्राम को फिर से चलाकर किसी भी समय पैकेज को स्थापित और अपडेट कर सकते हैं, जब आप OpenSSL के लिए पैकेज सूची चरण खोज में मिलेंगे और इसे स्थापित करने के लिए सेट करें)

चरण 2: ओपनएसएसएल कॉन्फ़िगर करें

मान लें कि आप Cygwin का उपयोग कर रहे हैं, तो आपको जारी रखने से पहले OpenSSL को कॉन्फ़िगर करना होगा।
अपने Cygwin स्थापना फ़ोल्डर में ब्राउज़ करें और अंदर नए फ़ोल्डर बनाएँ (यह सामान्य रूप से विंडोज में किया जा सकता है):

/ Etc / ssl / सीए
/ Etc / ssl / प्रमाणपत्र
/ Etc / ssl / CRL
/ Etc / ssl / newcerts
/ Etc / ssl / निजी

अब हमें इन नए फ़ोल्डरों के बारे में OpenSSL को /usr/ssl/openssl.cnf में कॉन्फिग फाइल को एडिट करके बताना होगा।

** आपको इस cnf फ़ाइल को संपादित करने के लिए नोटपैड ++ जैसे प्रोग्राम का उपयोग करना होगा क्योंकि विंडोज को लगता है कि यह एक स्पीड शॉर्टकट है और अभ्यस्त आपको इसे टेक्स्ट फाइल के रूप में खोलने की अनुमति देता है। मान लें कि आपने नोटपैड ++ स्थापित किया है, तो आप फ़ाइल पर राइट क्लिक कर सकते हैं और फ़ाइल को संपादन के लिए खोलने के लिए नोटपैड ++ संदर्भ मेनू के साथ ओपन का उपयोग कर सकते हैं। **

Opensl.cnf में निम्नलिखित परिवर्तन करें (नोट: ये पंक्ति संख्याएँ सटीक नहीं हो सकती हैं और OpenSSL अपडेट के साथ बदल सकती हैं):

पंक्ति 37: dir = / etc / ssl / # जहां सब कुछ रखा गया है
लाइन 40: डेटाबेस = $ dir / CA / index.txt # डेटाबेस इंडेक्स फ़ाइल।
लाइन 45: प्रमाण पत्र = $ dir / certs / cacert.pem # CA प्रमाणपत्र
लाइन 46: सीरियल = $ dir / CA / सीरियल # वर्तमान सीरियल नंबर
पंक्ति 50: Private_key = $ dir / private / cakey.pem # निजी कुंजी

साइगविन विंडो खोलें और निम्नलिखित कमांड चलाएं:
sh -c "इको '01'> / etc / ssl / CA / सीरियल"
/etc/ssl/CA/index.txt स्पर्श करें

चरण 3: सीए रूट प्रमाणपत्र उत्पन्न करें

अब हम CA रूट प्रमाण पत्र को उत्पन्न कर सकते हैं जिसका उपयोग हम किसी भी अन्य प्रमाण पत्र पर हस्ताक्षर करने के लिए कर सकते हैं, जिसे हम पसंद करते हैं, यह विंडोज़ को हमारे प्रमाणपत्रों को वैध रूप में देखने की अनुमति देगा क्योंकि हम उन्हें स्थापित करते समय रूट प्रमाणपत्र के विरुद्ध उन्हें मान्य कर पाएंगे। ।

एक Cygwin विंडो में निम्नलिखित चलाएं:
cd ~ (यह सुनिश्चित करेगा कि आप अपनी होम डायरेक्टरी में हैं / जो आपका होम / आपका यूजरनेम होगा। यदि आप विंडोज में प्रशासक के रूप में लॉग इन हैं तो यह होम / एडमिनिस्ट्रेटर होगा)
खुलता है req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

स्क्रीन पर दिए गए निर्देशों का पालन करें और आपको फ़ोल्डर में दो फाइलें मिलनी चाहिए, एक फाइल जिसे cakey.pem और दूसरे को cacert.pem कहा जाता है।
Cakey.pem फ़ाइल को / etc / ssl / private पर ले जाएँ और cacert.pem को / etc / ssl / certs पर ले जाएँ।

चरण 4: सुरक्षित और असुरक्षित कुंजी उत्पन्न करें

अब हमें उन कुंजियों को उत्पन्न करने की आवश्यकता है जिनका उपयोग हम अपने प्रमाणपत्र हस्ताक्षर अनुरोधों को उत्पन्न करने के लिए करेंगे:

Opensl genrsa -des3 -out server.key 1024

फिर भागो:
Opensl rsa -in server.key -out server.key.insecure
mv server.key server.key.secure
mv server.key.insecure server.key

यह हमें दो फाइलों के साथ छोड़ देता है, एक जिसे server.key.secure कहा जाता है जिसमें हमारी निजी कुंजी होती है और दूसरी जिसे server.key कहा जाता है जिसमें हमारी सार्वजनिक कुंजी होती है।

चरण 5: एक प्रमाणपत्र हस्ताक्षर अनुरोध उत्पन्न करें

अब हम उस डोमेन के लिए एक CSR तैयार करने के लिए तैयार हैं जिसका उपयोग Spiceworks करेंगे, हम तब CSR को रूट CA के साथ जोड़ते हैं और हमें SpiceWorks में स्थापित करने के लिए प्रमाणपत्र देते हैं।

Opensl req -new -key server.key -out server.csr

ऑन स्क्रीन प्रॉम्प्ट का पालन करें लेकिन जब कॉमन नाम के लिए कहा जाता है कि डोमेन का उपयोग करें जो कि Spiceworks का उपयोग करेगा (उदाहरण के लिए यदि SW spiceworks.domain.com पर चलना है तो यह वह है जो हम कॉमन नेम फ़ील्ड में उपयोग करेंगे)।

यह server.csr नामक एक फाइल जेनरेट करेगा।

चरण 6: नया प्रमाणपत्र बनाएं और हस्ताक्षर करें

अब हमारे पास एक मान्य रूट CA प्रमाणपत्र और डोमेन के लिए एक CSR है जिसका हम उपयोग करना चाहते हैं हम इस पर हस्ताक्षर कर सकते हैं और वह प्रमाणपत्र बना सकते हैं जो Spiceworks उपयोग करेगा।

खुलता है ca -in /etc/ssl/certs/server.csr

जब आप रूट CA सेटअप करते हैं तो आपके द्वारा बनाए गए पासफ़्रेज़ के लिए आपसे पूछा जाना चाहिए और फिर आपके द्वारा CSR में दर्ज विवरण देखें। पुष्टि करें कि विवरण सही हैं और फिर प्रमाणपत्र पर हस्ताक्षर करने के लिए वाई का चयन करें और फिर इसे करने के लिए फिर से वाई।

यदि आप अब / etc / ssl / newcerts में देखते हैं, तो आपको 01.pem जैसी कोई फ़ाइल देखनी चाहिए (यह इस बात पर निर्भर करता है कि यह आपका पहला प्रमाणपत्र है या नहीं और यह एक उच्च संख्या हो सकती है)।

चरण 7: प्रमाणपत्र को स्पिकवर्क में स्थापित करें

अब हमारे पास हस्ताक्षरित प्रमाणपत्र है जिसे हम इसे स्पिकवर्क में स्थापित कर सकते हैं।
स्पिकवर्क अपने एसएसएल प्रमाणपत्रों को अपने httpd ssl फ़ोल्डर में संग्रहीत करता है। इसके अंदर आपको .pem एक्सटेंशन के साथ दो फाइलें देखनी चाहिए।

** इस बिंदु पर मैं इन दोनों फ़ाइलों की एक प्रति बनाने का सुझाव दूंगा, यदि आपको वापस रोल करने और उन्हें पुनर्स्थापित करने की आवश्यकता है। **

नोटपैड ++ का उपयोग करके ssl-cert.pem फ़ाइल खोलें और इसकी सामग्री को हटा दें, इस फ़ाइल में /etc/ssl/newcerts/01.pem फ़ाइल से आपके नए प्रमाणपत्र की सामग्री की प्रतिलिपि बनाएँ, हालाँकि सब कुछ कॉपी न करें, हम नीचे का भाग चाहते हैं। जहाँ से यह शुरू होता है ------ BEGIN CERTIFICATE -------।

Ssl-private-key.pem फ़ाइल खोलें और फिर से, इसकी सामग्री को हटा दें, इस बार उस सर्वर की सामग्री पर प्रतिलिपि बनाएँ। जिसे आपने मूल CSR जनरेट करने के लिए उपयोग किया था।

अब हमारे पास एसएसएल प्रमाणपत्र स्थापित है जिसे आपको नए प्रमाणपत्र को लोड करने के लिए स्पिकवर्क को पुनः आरंभ करने की आवश्यकता है।
अब जब आप HTTPS के माध्यम से Spiceworks को एक्सेस करने का प्रयास करते हैं, तब भी आपको प्रमाणपत्र त्रुटि प्राप्त होगी, लेकिन यदि आप प्रमाण पत्र की सामग्री को देखते हैं तो आपको यह देखना चाहिए कि इसमें आपके द्वारा दर्ज सभी विवरण शामिल हैं।

चरण 8: अपने पीसी पर रूट CA प्रमाणपत्र स्थापित करें

अब हम शुरू में बनाए गए नए रूट CA को वितरित करने के लिए तैयार हैं, लेकिन इससे पहले कि हम यह कर सकें कि हमें इसे एक प्रारूप में बदलने की आवश्यकता है जिसे विंडोज समझ सकता है।

Opensl x509 -in cacert.pem -out cacert.crt

अपने पीसी पर .crt फ़ाइल को कॉपी करें और राइट क्लिक करें और इंस्टाल चुनें, सुनिश्चित करें कि आप इसे ट्रस्टेड रूट सर्टिफिकेट अथॉरिटी स्टोर में स्थापित करें या फिर यह सही ढंग से काम नहीं करेगा।

अंत में इंटरनेट एक्सप्लोरर को बंद करें और इसे फिर से खोलें, अब आपको अपने स्पिकवर्क को एसएसएल के माध्यम से स्थापित करने में सक्षम होना चाहिए और कोई त्रुटि या चेतावनी प्राप्त नहीं करनी चाहिए (आईई को पता पट्टी में पैडलॉक आइकन प्रदर्शित करना चाहिए)।

यह मानते हुए कि आपने इसे अभी तक बनाया है और आपके द्वारा अपनी कंपनी में प्रत्येक पीसी को अपना नया रूट CA सर्टिफिकेट वितरित करने के लिए तैयार किए गए सभी काम, ग्रुप पॉलिसी के माध्यम से करने का सबसे आसान तरीका है (आपको नए रूट CA को फिर से निर्यात करना होगा। एक अलग प्रारूप में विंडोज हालांकि ऐसा करने के लिए), हालांकि मैं इसे दूसरे हॉव-टू पर छोड़ दूंगा।

उम्मीद है कि यह एक बड़ा पाठ नहीं रहा है और कुछ समझ में आया है, इस काम को पाने के लिए मुझे कुछ अलग-अलग गाइडों को एक साथ खींचना होगा और फिर खुद को प्रयोग में लाना होगा।

यदि आपके पास कोई सवाल है तो बेझिझक टिप्पणी में पूछ सकते हैं, कोई एसएसएल विशेषज्ञ नहीं, लेकिन मैं कोशिश करूंगा और मदद करूंगा :)