OpenSSL کے ساتھ خود دستخط شدہ سرٹیفکیٹ کیسے بنایا جائے۔

OpenSSL کے ساتھ خود دستخط شدہ سرٹیفکیٹ کیسے بنایا جائے۔
آپ جیسے قارئین MUO کو سپورٹ کرنے میں مدد کرتے ہیں۔ جب آپ ہماری سائٹ پر لنکس کا استعمال کرتے ہوئے خریداری کرتے ہیں، تو ہم ملحق کمیشن حاصل کر سکتے ہیں۔ مزید پڑھ.

SSL/TLS سرٹیفکیٹس آپ کی ویب ایپلیکیشن یا سرور کو محفوظ بنانے کے لیے ضروری ہیں۔ اگرچہ کئی قابل اعتماد سرٹیفکیٹ حکام لاگت کے لیے SSL/TLS سرٹیفکیٹ فراہم کرتے ہیں، اوپن ایس ایس ایل کا استعمال کرتے ہوئے خود دستخط شدہ سرٹیفکیٹ تیار کرنا بھی ممکن ہے۔ اگرچہ خود دستخط شدہ سرٹیفکیٹس میں قابل اعتماد اتھارٹی کی توثیق نہیں ہوتی ہے، پھر بھی وہ آپ کی ویب ٹریفک کو خفیہ کر سکتے ہیں۔ تو آپ اپنی ویب سائٹ یا سرور کے لیے خود دستخط شدہ سرٹیفکیٹ بنانے کے لیے OpenSSL کا استعمال کیسے کر سکتے ہیں؟





دن کی ویڈیو کا میک یوز مواد کے ساتھ جاری رکھنے کے لیے اسکرول کریں۔

اوپن ایس ایس ایل کو کیسے انسٹال کریں۔

OpenSSL اوپن سورس سافٹ ویئر ہے۔ لیکن اگر آپ کے پاس پروگرامنگ کا پس منظر نہیں ہے اور آپ تعمیراتی عمل کے بارے میں فکر مند ہیں، تو اس میں تھوڑا سا تکنیکی سیٹ اپ ہے۔ اس سے بچنے کے لیے، آپ OpenSSL کے کوڈ کا تازہ ترین ورژن ڈاؤن لوڈ کر سکتے ہیں، مکمل طور پر مرتب شدہ اور انسٹال کرنے کے لیے تیار، یہاں سے slproweb کی سائٹ .



یہاں، آپ کے سسٹم کے لیے موزوں تازہ ترین OpenSSL ورژن کی MSI ایکسٹینشن منتخب کریں۔





OpenSSL ڈاؤن لوڈ کے لیے slproweb ویب سائٹ سے اسکرین شاٹ

مثال کے طور پر، OpenSSL پر غور کریں۔ D:\OpenSSL-Win64 . آپ اسے تبدیل کر سکتے ہیں۔ اگر تنصیب مکمل ہو گئی ہے، پاور شیل کو بطور ایڈمن کھولیں۔ اور نامی ذیلی فولڈر پر جائیں۔ بن اس فولڈر میں جہاں آپ نے OpenSSL انسٹال کیا۔ ایسا کرنے کے لیے، درج ذیل کمانڈ کا استعمال کریں:

 cd 'D:\OpenSSL-Win64\bin'

اب آپ کو رسائی حاصل ہے۔ openssl.exe اور جسے آپ چاہیں چلا سکتے ہیں۔



یہ دیکھنے کے لیے ورژن کمانڈ چلا رہا ہے کہ آیا openssl انسٹال ہے۔

OpenSSL کے ساتھ اپنی نجی کلید بنائیں

خود دستخط شدہ سرٹیفکیٹ بنانے کے لیے آپ کو ایک نجی کلید کی ضرورت ہوگی۔ اسی بن فولڈر میں، آپ بطور ایڈمن کھولنے کے بعد پاور شیل میں درج ذیل کمانڈ کو داخل کر کے اس نجی کلید کو بنا سکتے ہیں۔

 openssl.exe genrsa -des3 -out myPrivateKey.key 2048

یہ کمانڈ ایک 2048 بٹ لمبی، 3DES-انکرپٹڈ RSA نجی کلید OpenSSL کے ذریعے تیار کرے گی۔ OpenSSL آپ سے پاس ورڈ درج کرنے کو کہے گا۔ آپ کو استعمال کرنا چاہئے a مضبوط اور یادگار پاس ورڈ . ایک ہی پاس ورڈ کو دو بار داخل کرنے کے بعد، آپ نے کامیابی کے ساتھ اپنی RSA نجی کلید تیار کر لی ہوگی۔



کون سی نسل جدید ترین آئی پیڈ ہے
RSA کلید بنانے کے لیے استعمال ہونے والی کمانڈ کا آؤٹ پٹ

آپ نام کے ساتھ اپنی نجی RSA کلید تلاش کر سکتے ہیں۔ myPrivateKey.key .

OpenSSL کے ساتھ CSR فائل کیسے بنائیں

آپ جو نجی کلید بناتے ہیں وہ خود ہی کافی نہیں ہوگی۔ مزید برآں، خود دستخط شدہ سرٹیفکیٹ بنانے کے لیے آپ کو ایک CSR فائل کی ضرورت ہے۔ اس CSR فائل کو بنانے کے لیے، آپ کو پاور شیل میں ایک نئی کمانڈ درج کرنے کی ضرورت ہے:



 openssl.exe req -new -key myPrivateKey.key -out myCertRequest.csr

OpenSSL یہاں پرائیویٹ کلید بنانے کے لیے آپ کے درج کردہ پاس ورڈ کے لیے بھی پوچھے گا۔ یہ آپ کی قانونی اور ذاتی معلومات کی مزید درخواست کرے گا۔ محتاط رہیں کہ آپ یہ معلومات صحیح طریقے سے درج کریں۔

CSR فائل بنانے کے لیے استعمال ہونے والی کمانڈ کا آؤٹ پٹ

اس کے علاوہ، اب تک کی تمام کارروائیاں ایک ہی کمانڈ لائن سے کرنا ممکن ہے۔ اگر آپ نیچے دی گئی کمانڈ کا استعمال کرتے ہیں، تو آپ اپنی پرائیویٹ RSA کلید اور CSR فائل دونوں ایک ساتھ تیار کر سکتے ہیں۔

 openssl.exe req -new -newkey rsa:2048 -nodes -keyout myPrivateKey2.key -out myCertRequest2.csr
ایک ہی بار میں RSA اور CSR فائلیں بنانے کے لیے استعمال ہونے والی کمانڈ کا آؤٹ پٹ

اب آپ نام کی فائل دیکھ سکیں گے۔ myCertRequest.csr متعلقہ ڈائریکٹری میں۔ آپ کی تخلیق کردہ اس CSR فائل میں کچھ معلومات شامل ہیں:

  • سرٹیفکیٹ کی درخواست کرنے والا ادارہ۔
  • عام نام (یعنی ڈومین کا نام)۔
  • عوامی کلید (انکرپشن مقاصد کے لیے)۔

آپ کی تخلیق کردہ CSR فائلوں کا جائزہ لینے اور کچھ حکام کے ذریعہ منظور ہونے کی ضرورت ہے۔ اس کے لیے، آپ کو سی ایس آر فائل کو براہ راست سرٹیفکیٹ اتھارٹی یا دیگر ثالثی اداروں کو بھیجنا ہوگا۔

یہ حکام اور بروکریج ہاؤس اس بات کی جانچ کرتے ہیں کہ آیا آپ جو معلومات فراہم کرتے ہیں وہ درست ہے، اس پر منحصر ہے کہ آپ جو سرٹیفکیٹ چاہتے ہیں۔ آپ کو کچھ دستاویزات آف لائن بھیجنے کی بھی ضرورت ہو سکتی ہے (فیکس، میل، وغیرہ) یہ ثابت کرنے کے لیے کہ آیا معلومات درست ہیں۔

سرٹیفیکیشن اتھارٹی کے ذریعہ سرٹیفکیٹ کی تیاری

جب آپ اپنی بنائی ہوئی CSR فائل کو ایک درست سرٹیفکیٹ اتھارٹی کو بھیجتے ہیں، تو سرٹیفکیٹ اتھارٹی فائل پر دستخط کرتی ہے اور درخواست کرنے والے ادارے یا شخص کو سرٹیفکیٹ بھیجتی ہے۔ ایسا کرنے میں، سرٹیفیکیشن اتھارٹی (جسے CA بھی کہا جاتا ہے) CSR اور RSA فائلوں سے PEM فائل بھی بناتا ہے۔ PEM فائل آخری فائل ہے جو خود دستخط شدہ سرٹیفکیٹ کے لیے درکار ہے۔ یہ مراحل اس بات کو یقینی بناتے ہیں۔ SSL سرٹیفکیٹ منظم، قابل اعتماد اور محفوظ رہتے ہیں۔ .

آپ OpenSSL کے ساتھ PEM فائل خود بھی بنا سکتے ہیں۔ تاہم، یہ آپ کے سرٹیفکیٹ کی سلامتی کے لیے ممکنہ خطرہ بن سکتا ہے کیونکہ مؤخر الذکر کی صداقت یا درستگی واضح نہیں ہے۔ اس کے علاوہ، حقیقت یہ ہے کہ آپ کا سرٹیفکیٹ ناقابل تصدیق ہے، یہ کچھ ایپلیکیشنز اور ماحول میں کام نہ کرنے کا سبب بن سکتا ہے۔ لہٰذا خود دستخط شدہ سرٹیفکیٹ کی اس مثال کے لیے، ہم جعلی PEM فائل استعمال کر سکتے ہیں، لیکن، یقیناً، حقیقی دنیا کے استعمال میں یہ ممکن نہیں ہے۔

جی آئی ایف کو اپنا پس منظر کیسے بنائیں

ابھی کے لیے، نام کی ایک PEM فائل کا تصور کریں۔ myPemKey.pem ایک سرکاری سرٹیفکیٹ اتھارٹی سے آتا ہے۔ آپ اپنے لیے PEM فائل بنانے کے لیے درج ذیل کمانڈ کا استعمال کر سکتے ہیں۔

 openssl x509 -req -sha256 -days 365 -in myCertRequest.csr -signkey myPrivateKey.key -out myPemKey.pem

اگر آپ کے پاس ایسی فائل ہے تو، آپ کو اپنے خود دستخط شدہ سرٹیفکیٹ کے لیے جو کمانڈ استعمال کرنی چاہیے وہ یہ ہوگی:

 openssl.exe x509 -req -days 365 -in myCertRequest.csr -signkey myPemKey.pem -out mySelfSignedCert.cer

اس کمانڈ کا مطلب ہے کہ CSR فائل نام کی ایک پرائیویٹ کلید کے ساتھ دستخط شدہ ہے۔ myPemKey.pem ، 365 دنوں کے لیے درست ہے۔ نتیجے کے طور پر، آپ نام کی ایک سرٹیفکیٹ فائل بناتے ہیں۔ mySelfSignedCert.cer .

تصویر جو خود دستخط شدہ سرٹیفکیٹ فولڈر میں موجود ہے۔

خود دستخط شدہ سرٹیفکیٹ کی معلومات

آپ اپنے بنائے ہوئے خود دستخط شدہ سرٹیفکیٹ کی معلومات کو چیک کرنے کے لیے درج ذیل کمانڈ کا استعمال کر سکتے ہیں۔

 openssl.exe x509 -noout -text -in mySelfSignedCert.cer

یہ آپ کو سرٹیفکیٹ میں موجود تمام معلومات دکھائے گا۔ سرٹیفکیٹ میں استعمال ہونے والی کمپنی یا ذاتی معلومات، اور الگورتھم جیسی بہت سی معلومات دیکھنا ممکن ہے۔

کیا ہوگا اگر خود دستخط شدہ سرٹیفکیٹس پر سرٹیفیکیشن اتھارٹی کے دستخط نہ ہوں؟

یہ ضروری ہے کہ آپ جو خود دستخط شدہ سرٹیفکیٹ بناتے ہیں ان کا آڈٹ کریں اور تصدیق کریں کہ یہ محفوظ ہیں۔ فریق ثالث کا سرٹیفکیٹ فراہم کرنے والا (یعنی CA) عام طور پر ایسا کرتا ہے۔ اگر آپ کے پاس فریق ثالث سرٹیفکیٹ اتھارٹی کے ذریعہ دستخط شدہ اور منظور شدہ سرٹیفکیٹ نہیں ہے، اور آپ یہ غیر منظور شدہ سرٹیفکیٹ استعمال کرتے ہیں، تو آپ کو کچھ حفاظتی مسائل کا سامنا کرنا پڑے گا۔

مثال کے طور پر، ہیکرز کسی ویب سائٹ کی جعلی کاپی بنانے کے لیے آپ کے خود دستخط شدہ سرٹیفکیٹ کا استعمال کر سکتے ہیں۔ یہ حملہ آور کو صارفین کی معلومات چوری کرنے کی اجازت دیتا ہے۔ وہ آپ کے صارفین کے صارف نام، پاس ورڈز یا دیگر حساس معلومات کو بھی پکڑ سکتے ہیں۔

صارفین کی حفاظت کو یقینی بنانے کے لیے، ویب سائٹس اور دیگر خدمات کو عام طور پر ایسے سرٹیفکیٹ استعمال کرنے کی ضرورت ہوتی ہے جو درحقیقت CA سے تصدیق شدہ ہوں۔ یہ ایک یقین دہانی فراہم کرتا ہے کہ صارف کا ڈیٹا انکرپٹڈ ہے اور درست سرور سے جڑ رہا ہے۔

ونڈوز پر خود دستخط شدہ سرٹیفکیٹ بنانا

جیسا کہ آپ دیکھ سکتے ہیں، OpenSSL کے ساتھ ونڈوز پر خود دستخط شدہ سرٹیفکیٹ بنانا بہت آسان ہے۔ لیکن یہ بات ذہن میں رکھیں کہ آپ کو سرٹیفیکیشن حکام سے بھی منظوری کی ضرورت ہوگی۔

بہر حال، ایسا سرٹیفکیٹ بنانے سے یہ ظاہر ہوتا ہے کہ آپ صارفین کی سیکیورٹی کو سنجیدگی سے لیتے ہیں، یعنی وہ آپ پر، آپ کی سائٹ اور آپ کے مجموعی برانڈ پر زیادہ اعتماد کریں گے۔