Proses pembuatan sertifikat SSL/TLS adalah tugas umum bagi banyak administrator sistem Linux. Untungnya, meskipun Anda bukan administrator, mudah melakukannya dengan menggunakan OpenSSL, alat sumber terbuka yang diinstal secara default di banyak distribusi Linux. Di sini kami menjelaskan apa itu OpenSSL, cara menginstalnya, dan yang terpenting, cara menggunakannya untuk menghasilkan sertifikat SSL dan TLS di sistem Anda.
Apa itu OpenSSL?
OpenSSL adalah pustaka yang dikembangkan oleh Proyek OpenSSL untuk menyediakan implementasi SSL dan TLS sumber terbuka untuk enkripsi lalu lintas jaringan. Ini sudah tersedia untuk berbagai distribusi berbasis Unix dan dapat digunakan untuk menghasilkan sertifikat, kunci privat RSA, dan melakukan tugas terkait kriptografi umum.
Batasan Sertifikat SSL yang Ditandatangani Sendiri
Saat Anda menggunakan OpenSSL untuk membuat sertifikat SSL, ini dianggap “ditandatangani sendiriâ€. Artinya, sertifikat SSL ditandatangani dengan kunci pribadinya sendiri dan bukan dari Otoritas Sertifikat (CA).
Dengan demikian, sertifikat SSL tidak dapat “dipercaya” dan tidak boleh digunakan untuk situs publik mana pun. Jika digunakan, pengguna kemungkinan akan melihat peringatan dari browser mereka tentang sertifikat tersebut.
Sertifikat yang ditandatangani sendiri berguna untuk pengembangan lokal atau aplikasi apa pun yang berjalan di latar belakang yang tidak menghadap Internet.
Atau, Anda dapat menggunakan GB
Anda dapat memeriksa manual yang disediakan:
bantuan openssl
Menghasilkan Sertifikat Menggunakan File Konfigurasi
Menghasilkan sertifikat menggunakan OpenSSL dimungkinkan dalam banyak cara. Salah satunya adalah dengan menggunakan file konfigurasi yang akan menentukan detail tentang organisasi.
Untuk memulai, Anda dapat membuat file konfigurasi bernama “config.conf” dan mengeditnya menggunakan Nano:
sudo nano example.conf
Berikut adalah contoh isi file konfigurasi:
[req] default_bits = 2048 prompt = tidak ada default_md = sha256 req_extensions = req_ext x509_extensions= v3_ca defined_name = dn [dn] C = US ST = California L = Los Angeles O = Org OU = Alamat email penjualan = [email protected] CN = www .org.test.com [ v3_ca ] subjectKeyIdentifier=hash authorityKeyIdentifier=keyid:selalu,penerbit:selalu basicConstraints = CA:true [req_ext] subjectAltName = @alt_names [alt_names] DNS.1 = test.example.com
Anda cukup menyalin dan menempelkan ini ke dalam file dan membuat perubahan yang diperlukan untuk mencerminkan informasi organisasi Anda.
Selanjutnya, Anda harus membuat kunci privat RSA, yang kemudian akan digunakan untuk membuat sertifikat root -:
openssl genrsa -out example.key 2048
Bendera -out digunakan dalam hal ini untuk menentukan nama kunci yang akan dihasilkan. Ukuran kunci 2048 bit juga ditentukan, yang merupakan default untuk kunci RSA.
Anda juga harus membuat Permintaan Penandatanganan Sertifikat (CSR):
openssl req -baru -key example.key -out example.csr -config example.conf
Dalam hal ini, flag -key digunakan untuk menentukan kunci RSA, flag -out menentukan nama file CSR dan flag -config digunakan untuk menentukan nama file config.
Setelah ini, Anda dapat membuat sertifikat root, yang digunakan untuk membuat sertifikat akhir kami:
req -x509 -sha256 -node -baru -key example.key -out example.crt -config example.conf
Dalam proses pembuatan sertifikat root ini, flag -sha256 digunakan untuk menentukan SHA256 sebagai intisari pesan.
Sekarang, untuk langkah terakhir, kita akhirnya bisa mengetikkan yang berikut untuk menghasilkan sertifikat kita:
membukasl x509 -sha256 -CA membuat serial -req -hari 30 -dalam contoh.csr -extfile contoh.conf -CA contoh.crt -CAkey contoh.kunci -keluar final.crt
Flag -CA menentukan sertifikat root, flag -CAkey menentukan kunci pribadi dan -extfile menentukan nama file konfigurasi. File “final.crt” akan menjadi sertifikat SSL yang Anda inginkan.
Menghasilkan Sertifikat tanpa File Konfigurasi
Sebagai alternatif, Anda juga dapat membuat sertifikat menggunakan OpenSSL tanpa file konfigurasi.
Anda dapat memulai dengan membuat kunci pribadi RSA:
openssl genrsa -out example.key 2048
Selanjutnya, Anda harus membuat CSR:
openssl req -baru -key example.key -out example.csr
Saat membuat CSR, Anda akan diminta untuk menjawab pertanyaan tentang organisasi Anda.
Terakhir, kita dapat membuat sertifikat itu sendiri:
openssl x509 -req -hari 30 -dalam contoh.csr -signkey contoh.kunci -keluar contoh.crt
Verifikasi Kunci dan Sertifikat
Kunci dan sertifikat mudah diperiksa dan diverifikasi menggunakan OpenSSL, dengan tanda -check :
openssl rsa -periksa -dalam contoh.kunci
Anda dapat memeriksa permintaan penandatanganan sertifikat:
openssl req -teks -noout -dalam contoh.csr
dan sertifikat juga:
openssl x509 -teks -noout -dalam contoh.crt
Pertanyaan yang Sering Diajukan
1. Apakah saya masih harus mengkhawatirkan Heartbleed?
Heartbleed (CVE-2014-0160) adalah kerentanan lama yang ditemukan di OpenSSL pada tahun 2014. Server TLS dan klien yang menjalankan OpenSSL keduanya terpengaruh. Sebuah tambalan dengan cepat dirilis beberapa hari setelah penemuannya, dan kerentanan ini tidak perlu dikhawatirkan pada tahun 2022 selama Anda menjalankan versi OpenSSL yang modern dan terkini.
Jika Anda menggunakan OpenSSL pada sistem berbasis Debian dan Ubuntu, Anda selalu dapat memperbaruinya dengan menjalankan perintah berikut:
sudo apt update && sudo apt upgrade openssl
2. Berapa lama sertifikat SSL bertahan sebelum habis masa berlakunya?
Ini bergantung pada nilai yang Anda pilih saat membuat sertifikat. Ini dapat ditentukan dengan menggunakan flag -days saat membuat sertifikat.
Kredit gambar: Sls ditulis di balok kubus kayu oleh 123RF
