هاست و میزبانی

طریقه ایجاد و ایجاد کد CSR گواهی SSL در کنترلپنل های مختلف

SSL مخفف secure socket layer یک تکنولوژی کد گذاری است که در دهه ۱۹۹۰ به وسیله Netscape ابداع شد. SSL یک اتصال کد گذاری شده را بین وب سرور شما و براوزر وب تولید می کند که اجازه میدهد دیتا خصوصی شما بدون بروز مشکلاتی از قبیل استراق سمع، دستکاری داده و یا جعل پیام ارسال شود.

فعال کردن https

SSL یک پروتکل استاندارد و رایج امنیتی برپایه کد گذاری است که در آن داده‌های رد و بدل شده بین خدمات دهنده (Server) و خدمات گیرنده (Client) به وسیله کلیدهای ویژه ای خصوصی و عمومی رمزنگاری (Encrypt) شده و در سمت دیگر رمزگشایی (Decrypt) می‌شود. امنیت در این پروتکل دو طرفه است؛ یعنی در هر دو طرف، فرایند رمزنگاری و رمزگشایی انجام می‌گیرد.
بسیاری از خدمات دهندگانی که دیتا و داده‌های حساس مانند دیتا کارت‌های بانکی (به عنوان مثالً در شبکه بانکی کشور)، کارت‌های شناسایی، رمزهای عبور مهم و … را بین خود و خدمات گیرنده رد و بدل می‌کنند، از پروتکل‌های امنیتی مانند SSL استفاده می‌کنند.
وب‌سایت‌هایی که از پروتکل امن SSL جهت کد گذاری داده‌ها استفاده می‌کنند، معمولاً از راه پروتکل HTTPS (به جای حالت عادی و غیر امن آن یعنی HTTP) با خدمات گیرنده‌ها ارتباط برقرار می‌کنند.

طریقه ایجاد و ایجاد کد CSR گواهی SSL در کنترلپنل های مختلف 1

در این مقاله به معرفی مفاهیمی که در مدت فعالسازی ssl با آن مواجه می شوید، می پردازیم.

کد CSR در SSL چه هست؟

یک (CSR(Certificate Signing Request یا درخواست امضای گواهینامه دیجیتال، یک بلوک متن رمزگذاری شده است که در مدت اعمال به یک گواهینامه SSL به یک CA تحویل داده می شود. CSR معمولا در سرور ایجاد شده، در واقع آنجا که گواهینامه دیجیتال نصب می شود و شامل اطلاعاتی است که در گواهینامه قرار دارد، مانند: اسم شرکت، اسم عمومی(اسم دامین) ، موقعیت مکانی و اسم کشور.

همچنین شامل کلید عمومی است که در گواهینامه دیجیتال قرار دارد. همزمان که شما CSR را ایجاد می کنید، معمولا یک کلید خصوصی نیز ساخته می شود و در نهایت یک جفت کلید بدست می آید.

یک سازمان صدور گواهینامه یا CA از CSR برای ایجاد گواهینامه SSL استفاده می کند، اما به کلید خصوصی شما نیاز ندارد. شما می‌بایست کلید خصوصی خود را پنهان نگه دارید. گواهینامه دیجیتال (Certificate) ساخته شده با یک CSR مشخص، فقط با کلید خصوصی که بوسیله آن ساخته شده است، کارمی کند. بنابراین اگر شما کلید خصوصی (Private) خود را از دست دهید، دیگر گواهینامه کار نخواهد کرد.

csr شامل چه اطلاعاتی است

یک CSR شامل چه هست؟

 

نمونه هاتوضیحاتاسم
*.google.com
mail.google.com
اسم جامع دامین سرور شما (FQDN)

این می‌بایست با آنچه که شما دقیقا در براوزر وب تایپ می کنید تطابق داشته باشد یا اینکه شما ارور پایین را دانلود می کنید:

name mismatch error

اسم مشترک

(Common Name)

Google Incاسم قانونی شرکت شما که نباید مختصر باشد و می‌بایست شامل پسوندهایی مانند  Inc , Corp، و یا LLC باشد.شرکت
فناوری دیتا
واحد IT
تقسیمات شرکت شما که گواهینامه را مدیریت می کندواحد سازمانی
منظره کوهستانیشهری که شرکت شما در آن قرار داردشهر، محل
کالیفرنیااسم ایالت یا منطقه ای که شرکت شما در آن قرار دارد، نباید مخفف باشد.ایالت، کشور، منطقه
US
GB
کد دوحرفی کشوری که شرکت شما در آن قرار داردکشور
[email protected]نشانی ایمیل برای تماس با شرکت شمانشانی ایمیل
کلید عمومی به طور اتوماتیک ایجاد می شودکلید عمومی که برای شرکت شما استفاده می شود.کلید عمومی

 

یک کد CSR چه شکلی است؟

اکثر CSR ها در فرمت کدگذاری شده PEM و در Base64 تولید می شوند. این فرمت شامل خط “درخواست گواهینامه آغازین” و خط “درخواست گواهینامه پایانی” است که در آغاز و تکمیل CSR به آن اشاره می شود. یک CSR با فرمت PEM را می توان در یک ویرایشگر متن، مشابه نمونه پایین، باز کرد:

 

بیشتر بخوانید  آموزش آپلود مستقیم و سریع فایل ها در هاست با دستور PHP

چطور در SSL یک CSR تولید کنم؟

شما نیاز دارید که یک CSR و کلید خصوصی روی سرور تولید کنید که گواهینامه از آن استفاده خواهد کرد. شما می توانید دستورالعمل ها را در مستندات سرور خود بیابید و یا دستورالعمل های یکی از مراجع صدور گواهینامه (CA) را تجربه کنید:

Comodo CSR Generation Instructions

DigiCert CSR Generation Instructions

GeoTrust CSR Generation Instructions

Thawte CSR Generation Instructions

VeriSign CSR Generation Instructions

در صورتیکه از کنترلپنل ویژه ای استفاده می کنید، میتوانید به سادگی csr را تولید کنید.

جهت ایجاد CSR در کنترلپنل DirectAdmin به اینجا مراجعه کنید.
جهت ایجاد CSR در کنترلپنل  سیپنل  به اینجا مراجعه کنید.
جهت ایجاد CSR در کنترلپنل plesk  به اینجا مراجعه کنید.
جهت ایجاد CSR در IIS  به اینجا مراجعه کنید.

اگر شما با فرمت OpenSSL آشنا هستید، قادر خواهید بود از دستور پایین برای ایجاد یک CSR و کلید خصوصی استفاده کنید:

هنگامی که CSR خود را ساختید، قادر خواهید بود از SSL ما برای یافتن خوب ترین گواهینامه SSL استفاده کنید تا نیازهای شما را برطرف کند.

 

چطور می توان یک CSR را رمز گشایی کرد؟

شما می توانید به راحتی با رمزگشای CSR (CSR Decoder) ، CSR خود را رمزگشایی کرده و درون آن را ببینید. برای رمز گشایی CSR بر روی سامانه خود به وسیله از OpenSSL، از دستور پایین استفاده کنید:

طول بیت یک CSR و کلید خصوصی چقدر است؟

طول بیت یک CSR و کلید خصوصی، مشخص کننده دشواری کرک شدن آن به وسیله شیوه های Brute force است. از سال ۲۰۱۶ مشخص شد که طول بیت کمتر از ۲۰۴۸ بیت، ضعیف و ناامن بوده و امکان شکستن آن در چند ماه و یا کمتر بصورت بالقوه به وسیله یک کامپیوتر با توان بالا وجود دارد. اگر یک کلید خصوصی شکسته شود، تمامی اتصالات و ارتباطات برقرار شده، در اختیار کسی که کلید را دارد، قرار می گیرد.

دستورالعمل های اعتبار سنجی گسترده Extended Validation guidelines) ) که فراهم کنندگان گواهینامه های SSL نیازمند پیروی از آن هستند، برای حصول اعتماد از موضوع امنیت در بعدا، نیازمند این است که تمامی گواهینامه های EV از سایز کلید با طول ۲۰۴۸ بیت استفاده نماید. به همین علت، بیشتر ارائه دهندگان تمایل دارند از کلیدهایی با طول ۲۰۴۸ بیت برای تمام گواهینامه ها استفاده نمایند، حتی اگر EV نباشند.

 

کلید خصوصی (Private Key) چه هست؟

در رمزنگاری، یک کلید خصوصی متغیری است که با یک الگوریتم برای رمزنگاری و رمزگشایی کد استفاده می شود.  کیفیت رمزنگاری همیشه یک قانون اساسی را دنبال می کند: نیازی نیست که الگوریتم، مخفی نگه داشته شود، اما کلید آن را می‌بایست مخفی نگه داشت. کلید های خصوصی نقش مهمی را در رمزنگاری متقارن و نامتقارن ایفا می کند.

private key چیست؟

بیشتر پروسه های رمزنگاری، از رمزنگاری متقارن برای رمزنگاری انتقال داده استفاده می کنند، اما برای رمز نگاری و مبادله کلید مخفی، از رمزنگاری نامتقارن استفاده می کنند. رمزنگاری متقارن که به عنوان رمزنگاری کلید خصوصی هم شناخته می شود، برای رمزنگاری و رمزگشایی از یک کلید خصوصی مشابه استفاده می کند. خطر و ریسک در این سامانه آن است که اگر هریک از طرفین کلید را از دست دهد یا ارتباط با کلید قطع شود، سامانه خراب می شود و پیام ها بصورت ایمن مبادله نمی شود.

بیشتر بخوانید  آموزش آپلود مستقیم و سریع فایل ها در هاست با دستور PHP

رمزنگاری نامتقارن که به عنوان رمزنگاری کلید عمومی هم شناخته می شود، از دو کلید متفاوت که با الگوریتم های محاسباتی با یکدیگر در ارتباطند، استفاده می کند. پیچیدگی و طول کلید خصوصی، امکان حمله Brute Force یک هکر، پیروزی در آن و استفاده هکر از کلیدهای دیگر را مشخص می کند. چالش این سامانه، استفاده از منابع محاسباتی قوی برای ایجاد کلید های خصوصی قدرتمند و طولانی است.

کلیدهای خصوصی رمزشده عموما به دو دسته تقسیم می شوند: رمزهای در جریان و رمزهای بلاک شده.

یک رمز بلاک شده به طور همزمان یک کلید خصوصی و الگوریتم را برای یک بلوک داده اعمال می‌کند، در حالی که یک رمز جریان، کلید و الگوریتم را بیت به بیت اعمال می کند. کد گذاری کلید متقارن از نظر محاسباتی، بسیار سریعتر از کد گذاری نامتقارن است اما به یک کلید تبادل نیازمند است.

 

در همین رابطه: SNI چه هست؟

 

Ca bundle  چه هست؟

تمامی گواهینامه ها از یک مرجع صادر می گردند به این معنی که یک کد کلید عمومی در اختیار سازمان CA قرار داده شده و این سازمان اقدام به ساختن کلیدی از روی این کلید عمومی ارائه شده برای شما خواهد نمود.

این کلید، کلید گواهینامه SSL و یا Cert اسم دارد که بر روی وبسایت نصب می گردد هر کمپانی برای نصب گواهینامه به شما دستورالعملی را ارجاع می دهد که آن CPS اسم دارد. سازمان های CA گوناگونی درجهان وجود دارند که اقدام به ساختن گواهینامه SSL می نمایند و از جمله آنها می توان به Comodo و Certum و … اشاره کرد.

همگی آنها یه CA محسوب می گردند. CA یک کد به اسم CA Bundle در اختیار شما و مرورگرها قرار می دهند که وظیفه ی چک کردن گواهینامه و اعتماد یافتن براوزر از ساخته شدن گواهینامه از طرف CA را دارد.

این مسدود نرم افزاری در واقع یک فایل، شامل گواهینامه های ریشه (Root) و میانی است. یک گواهینامه End-Entity در حقیقت، یک اعلامیه امضای دیجیتال است که همراه با مسدود نرم افزاری CA، زنجیره‌ی گواهینامه را تشکیل می دهد.

این زنجیره برای ارتقاء سازگاری گواهینامه ها با مرورگرهای وب و انواع مشتری ها  گزینه نیاز است، بنابراین مرورگرها، گواهینامه شما را شناسایی می کنند و هیچ پیغام امنیتی برای شما ظاهر نمی شود.

احتمال دارد Comodo برای شما یک مسدود جامع CA را بصورت یک فایل زیپ همراه با پسوند *.ca-bundle و یا گواهینامه های ریشه و میانی بصورت جداگانه بفرستد.

در این حالت، شما دو گواهینامه Root و میانی (Intermediate) را بصورت دو فایل جداگانه دانلود کرده اید، شما می‌بایست برای داشتن یک مسدود CA جامع، این دو گواهینامه را با یکدیگر ترکیب کرده و به یک فایل تبدیل نمایید. اما از آنجایی که در مسدود نرم افزاری CA، گواهینامه ها می‌بایست با ترتیب ویژه ای قرار بگیرند، احتمال دارد ترتیب توالی صحیح دو گواهینامه ریشه ای و میانی مشخص نباشد.

به عنوان نمونه، شما PositiveSSL مربوط به Comodo  را در یک فایل زیپ دانلود می کنید که در آن سه فایل به شرح پایین وجود دارد: yourdomain.crt ،COMODORSADomainValidationSecureServerCA.crt ،COMODORSAAddTrustCA.crt و AddTrustExternalCARoot.crt . با وجود اینکه yourdomain.crt یک گواهینامه عمومی (Public) بوده که برای اسم دامین شما صادر شده است، اما چگونگی تولید یک مسدود CA برای آن و ارتباط با آن دو فایل دیگر، به طور جامع مشخص نیست.

بیشتر بخوانید  آموزش ورود به کنترل پنل ایمیل در دایرکت ادمین

 

تهیه گواهینامه SSL

جهت فعال کردن و تهیه SSL می توانید با قسمت فروش ایران سرور تماس حاصل کنید.

۰۵۱۳۱۷۷۶-۹۰۱

 

منبع

برچسب ها
نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *