آموزشامنیتشبکهمقالات

طریقه ساخت کد CSR برای SSL در کنترل پنل های مختلف

SSL مخفف secure socket layer یک تکنولوژی رمزگذاری است که در دهه ۱۹۹۰ توسط Netscape ابداع شد. SSL یک اتصال رمزگذاری شده را بین وب سرور شما و مرورگر وب ایجاد می کند که اجازه میدهد اطلاعات خصوصی شما بدون بروز مشکلاتی از قبیل استراق سمع، دستکاری داده و یا جعل پیام ارسال شود.

فعال کردن https

SSL یک پروتکل استاندارد و رایج امنیتی برپایه رمزگذاری است که در آن داده‌های رد و بدل شده بین سرویس دهنده (Server) و سرویس گیرنده (Client) توسط کلیدهای خاصی خصوصی و عمومی رمزنگاری (Encrypt) شده و در سمت دیگر رمزگشایی (Decrypt) می‌شود. امنیت در این پروتکل دو طرفه است؛ یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام می‌گیرد.
بسیاری از سرویس دهندگانی که اطلاعات و داده‌های حساس مانند اطلاعات کارت‌های بانکی (مثلاً در شبکه بانکی کشور)، کارت‌های شناسایی، رمزهای عبور مهم و … را بین خود و سرویس گیرنده رد و بدل می‌کنند، از پروتکل‌های امنیتی مانند SSL استفاده می‌کنند.
وبسایت‌هایی که از پروتکل امن SSL جهت رمزگذاری داده‌ها استفاده می‌کنند، معمولاً از طریق پروتکل HTTPS (به جای حالت عادی و غیر امن آن یعنی HTTP) با سرویس گیرنده‌ها ارتباط برقرار می‌کنند.

در این مقاله به معرفی مفاهیمی که در زمان فعال سازی ssl با آن مواجه می شوید، می پردازیم.

کد CSR چیست؟

یک (CSR(Certificate Signing Request یا درخواست امضای گواهینامه دیجیتال، یک بلوک متن کد گذاری شده است که در زمان اعمال به یک گواهینامه SSL به یک CA تحویل داده می شود. CSR معمولا در سرور تولید شده، در واقع آنجا که گواهینامه دیجیتال نصب می شود و شامل اطلاعاتی است که در گواهینامه قرار دارد، مانند: نام سازمان، نام عمومی(نام دامنه) ، موقعیت مکانی و نام کشور.

همچنین شامل کلید عمومی است که در گواهینامه دیجیتال قرار دارد. همزمان که شما CSR را تولید می کنید، معمولا یک کلید خصوصی نیز ساخته می شود و در نهایت یک جفت کلید بدست می آید.

یک شرکت صدور گواهینامه یا CA از CSR برای ساخت گواهینامه SSL استفاده می کند، اما به کلید خصوصی شما نیاز ندارد. شما باید کلید خصوصی خود را پنهان نگه دارید. گواهینامه دیجیتال (Certificate) ساخته شده با یک CSR مشخص، فقط با کلید خصوصی که بوسیله آن ساخته شده است، کارمی کند. بنابراین اگر شما کلید خصوصی (Private) خود را از دست دهید، دیگر گواهینامه کار نخواهد کرد.

csr شامل چه اطلاعاتی است

یک CSR شامل چیست؟

 

مثال هاتوضیحاتنام
*.google.com
mail.google.com
نام کامل دامنه سرور شما (FQDN)

این باید با آنچه که شما دقیقا در مرورگر وب تایپ می کنید تطابق داشته باشد یا اینکه شما خطای زیر را دریافت می کنید:

name mismatch error

نام مشترک

(Common Name)

Google Incنام قانونی سازمان شما که نباید مختصر باشد و باید شامل پسوندهایی مانند  Inc , Corp، و یا LLC باشد.سازمان
فناوری اطلاعات
واحد IT
تقسیمات سازمان شما که گواهینامه را مدیریت می کندواحد سازمانی
منظره کوهستانیشهری که سازمان شما در آن قرار داردشهر، محل
کالیفرنیانام ایالت یا منطقه ای که سازمان شما در آن قرار دارد، نباید مخفف باشد.ایالت، کشور، منطقه
US
GB
کد دوحرفی کشوری که سازمان شما در آن قرار داردکشور
[email protected]آدرس ایمیل برای تماس با سازمان شماآدرس ایمیل
کلید عمومی به طور خودکار تولید می شودکلید عمومی که برای سازمان شما استفاده می شود.کلید عمومی

 

یک کد CSR چه شکلی است؟

اکثر CSR ها در فرمت کدگذاری شده PEM و در Base64 ایجاد می شوند. این فرمت شامل خط “درخواست گواهینامه آغازین” و خط “درخواست گواهینامه پایانی” است که در شروع و پایان CSR به آن اشاره می شود. یک CSR با فرمت PEM را می توان در یک ویرایشگر متن، مشابه مثال زیر، باز کرد:

 

چگونه در SSL یک CSR ایجاد کنم؟

شما نیاز دارید که یک CSR و کلید خصوصی روی سرور ایجاد کنید که گواهینامه از آن استفاده خواهد کرد. شما می توانید دستورالعمل ها را در مستندات سرور خود بیابید و یا دستورالعمل های یکی از مراجع صدور گواهینامه (CA) را امتحان کنید:

Comodo CSR Generation Instructions

DigiCert CSR Generation Instructions

GeoTrust CSR Generation Instructions

Thawte CSR Generation Instructions

VeriSign CSR Generation Instructions

در صورتیکه از کنترل پنل خاصی استفاده می کنید، قادر خواهید بود به راحتی csr را ایجاد کنید.

جهت تولید CSR در کنترل پنل DirectAdmin به اینجا مراجعه کنید.
جهت تولید CSR در کنترل پنل  Cpanel  به اینجا مراجعه کنید.
جهت تولید CSR در کنترل پنل plesk  به اینجا مراجعه کنید.
جهت تولید CSR در IIS  به اینجا مراجعه کنید.

اگر شما با فرمت OpenSSL آشنا هستید، میتوانید از دستور زیر برای تولید یک CSR و کلید خصوصی استفاده کنید:

هنگامی که CSR خود را ساختید، میتوانید از SSL ما برای پیدا کردن بهترین گواهینامه SSL استفاده کنید تا نیازهای شما را برطرف کند.

 

چگونه می توان یک CSR را رمز گشایی کرد؟

شما می توانید به آسانی با رمزگشای CSR (CSR Decoder) ، CSR خود را رمزگشایی کرده و درون آن را ببینید. برای رمز گشایی CSR بر روی سیستم خود با استفاده از OpenSSL، از دستور زیر استفاده کنید:

طول بیت یک CSR و کلید خصوصی چقدر است؟

طول بیت یک CSR و کلید خصوصی، مشخص کننده دشواری کرک شدن آن توسط شیوه های Brute force است. از سال ۲۰۱۶ مشخص شد که طول بیت کمتر از ۲۰۴۸ بیت، ضعیف و ناامن بوده و امکان شکستن آن در چند ماه و یا کمتر به صورت بالقوه توسط یک کامپیوتر با توان بالا وجود دارد. اگر یک کلید خصوصی شکسته شود، تمامی اتصالات و ارتباطات برقرار شده، در اختیار کسی که کلید را دارد، قرار می گیرد.

دستورالعمل های اعتبار سنجی گسترده Extended Validation guidelines) ) که فراهم کنندگان گواهینامه های SSL نیازمند پیروی از آن هستند، برای حصول اطمینان از موضوع امنیت در آینده، نیازمند این است که تمامی گواهینامه های EV از سایز کلید با طول ۲۰۴۸ بیت استفاده نماید. به همین دلیل، بیشتر ارائه دهندگان تمایل دارند از کلیدهایی با طول ۲۰۴۸ بیت برای تمام گواهینامه ها استفاده نمایند، حتی اگر EV نباشند.

 

کلید خصوصی (Private Key) چیست؟

در رمزنگاری، یک کلید خصوصی متغیری است که با یک الگوریتم برای رمزنگاری و رمزگشایی کد استفاده می شود.  کیفیت رمزنگاری همیشه یک قانون اساسی را دنبال می کند: نیازی نیست که الگوریتم، مخفی نگه داشته شود، اما کلید آن را باید مخفی نگه داشت. کلید های خصوصی نقش مهمی را در رمزنگاری متقارن و نامتقارن ایفا می کند.

private key چیست؟

بیشتر پروسه های رمزنگاری، از رمزنگاری متقارن برای رمزنگاری انتقال داده استفاده می کنند، اما برای رمز نگاری و مبادله کلید مخفی، از رمزنگاری نامتقارن استفاده می کنند. رمزنگاری متقارن که به عنوان رمزنگاری کلید خصوصی هم شناخته می شود، برای رمزنگاری و رمزگشایی از یک کلید خصوصی مشابه استفاده می کند. خطر و ریسک در این سیستم آن است که اگر هریک از طرفین کلید را از دست دهد یا ارتباط با کلید قطع شود، سیستم خراب می شود و پیام ها به صورت ایمن مبادله نمی شود.

رمزنگاری نامتقارن که به عنوان رمزنگاری کلید عمومی هم شناخته می شود، از دو کلید متفاوت که با الگوریتم های محاسباتی با یکدیگر در ارتباطند، استفاده می کند. پیچیدگی و طول کلید خصوصی، امکان حمله Brute Force یک هکر، موفقیت در آن و استفاده هکر از کلیدهای دیگر را مشخص می کند. چالش این سیستم، استفاده از منابع محاسباتی قدرتمند برای تولید کلید های خصوصی قوی و طولانی است.

کلیدهای خصوصی رمزشده عموما به دو دسته تقسیم می شوند: رمزهای در جریان و رمزهای بلاک شده.

یک رمز بلاک شده به طور همزمان یک کلید خصوصی و الگوریتم را برای یک بلوک داده اعمال می‌کند، در حالی که یک رمز جریان، کلید و الگوریتم را بیت به بیت اعمال می کند. رمزگذاری کلید متقارن از نظر محاسباتی، بسیار سریعتر از رمزگذاری نامتقارن است اما به یک کلید تبادل نیازمند است.

 

در همین رابطه: SNI چیست؟

 

Ca bundle  چیست؟

تمامی گواهینامه ها از یک مرجع صادر می گردند به این معنی که یک کد کلید عمومی در اختیار شرکت CA قرار داده شده و این شرکت اقدام به ساختن کلیدی از روی این کلید عمومی ارائه شده برای شما خواهد نمود.

این کلید، کلید گواهینامه SSL و یا Cert نام دارد که بر روی وب سایت نصب می گردد هر کمپانی برای نصب گواهینامه به شما دستورالعملی را ارجاع می دهد که آن CPS نام دارد. شرکت های CA مختلفی درجهان وجود دارند که اقدام به ساختن گواهینامه SSL می نمایند و از جمله آنها می توان به Comodo و Certum و … اشاره کرد.

همگی آنها یه CA محسوب می گردند. CA یک کد به نام CA Bundle در اختیار شما و مرورگرها قرار می دهند که وظیفه ی چک کردن گواهینامه و اطمینان پیدا کردن مرورگر از ساخته شدن گواهینامه از طرف CA را دارد.

این بسته نرم افزاری در واقع یک فایل، شامل گواهینامه های ریشه (Root) و میانی است. یک گواهینامه End-Entity در حقیقت، یک اعلامیه امضای دیجیتال است که همراه با بسته نرم افزاری CA، زنجیره‌ی گواهینامه را تشکیل می دهد.

این زنجیره برای ارتقاء سازگاری گواهینامه ها با مرورگرهای وب و انواع مشتری ها  مورد نیاز است، بنابراین مرورگرها، گواهینامه شما را شناسایی می کنند و هیچ پیغام امنیتی برای شما ظاهر نمی شود.

ممکن است Comodo برای شما یک بسته کامل CA را به صورت یک فایل زیپ همراه با پسوند *.ca-bundle و یا گواهینامه های ریشه و میانی به صورت جداگانه بفرستد.

در این حالت، شما دو گواهینامه Root و میانی (Intermediate) را به صورت دو فایل جداگانه دریافت کرده اید، شما باید برای داشتن یک بسته CA کامل، این دو گواهینامه را با یکدیگر ترکیب کرده و به یک فایل تبدیل نمایید. اما از آنجایی که در بسته نرم افزاری CA، گواهینامه ها باید با ترتیب خاصی قرار بگیرند، ممکن است ترتیب توالی صحیح دو گواهینامه ریشه ای و میانی مشخص نباشد.

به عنوان مثال، شما PositiveSSL مربوط به Comodo  را در یک فایل زیپ دریافت می کنید که در آن سه فایل به شرح زیر وجود دارد: yourdomain.crt ،COMODORSADomainValidationSecureServerCA.crt ،COMODORSAAddTrustCA.crt و AddTrustExternalCARoot.crt . با وجود اینکه yourdomain.crt یک گواهینامه عمومی (Public) بوده که برای نام دامنه شما صادر شده است، اما چگونگی ایجاد یک بسته CA برای آن و ارتباط با آن دو فایل دیگر، به طور کامل مشخص نیست.

 

خرید گواهینامه SSL

جهت فعالسازی و خرید SSL می توانید با بخش فروش ایران سرور تماس حاصل کنید.

۰۵۱۳۱۷۷۶-۹۰۱

 

5+
برچسب ها

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ثبت و انتقال دامنه .Com فقط با 117 هزار تومان! #بهترین قیمت در ایران مشاهده قیمت های باورنکردنی
+
بستن