Створіть власний орган сертифікації з TinyCA

Спробуйте Наш Інструмент Для Усунення Проблем

Якщо ви запускаєте будь-який сервер, доступний громадськості, ви знаєте важливість органів сертифікації (CA). Ці сертифікати дають вашим користувачам трохи страхування, що ваш сайт насправді є таким, яким він є, а не підробленою версією вашого сайту, яка очікує на те, щоби обробити деякі дані або перекинути невелику корисну навантаження на машину, що не підозрює користувачів.

Проблема з ЦО полягає в тому, що вони можуть бути трохи затратними - особливо для адміністратора, який здійснює безкоштовну послугу або навіть малого бізнесу без бюджету на придбання ЦП. На щастя, вам не доведеться розкладати гроші для ЦО, оскільки ви можете їх безкоштовно створити на вашій Linux-версії за допомогою простого у користуванні додатка під назвою TinyCA .

Особливості

  • Створіть стільки ЦО та суб-ЦО, скільки вам потрібно.
  • Створення та скасування сертифікатів x509 S / MIME.
  • Запити PKCS №10 можна імпортувати та підписувати.
  • І серверні, і клієнтські ЦО можна експортувати в декількох форматах.

TinyCA працює як зручний інтерфейс для openssl, тому вам не доведеться видавати всі необхідні команди для створення та керування вашими ЦО.

Встановлення TinyCA

Ви не знайдете TinyCA у сховищах вашого дистрибутива. Ви можете або додати необхідне сховище до свого /etc/apt/sources.list файл або ви можете встановити з одного із двійкових файлів, знайдених на головній сторінці. Давайте використовувати Ubuntu та Debian як приклад для установки.

Якщо ви хочете встановити за допомогою apt-get, вам потрібно спершу додати файл сховища до файлу source.list. Тож відкрийте /etc/apt/sources.list файл з улюбленим редактором та додайте наступний рядок:
deb http://ftp.de.debian.org/debian sid main

ПРИМІТКА. Замініть 'sid' версією, яку ви використовуєте. Якщо ви використовуєте Ubuntu 9.04, приклад вище буде працювати.

Тепер запустіть команду:

sudo apt-get update

Ви помітите, що apt-get скаржиться на відсутність клавіші gpg. Це добре, тому що ми збираємось встановити за допомогою командного рядка. Тепер видайте команду:

sudo apt-get install tinyca

Це повинно встановлювати TinyCA без нарікань. Можливо, вам доведеться добре встановити деякі залежності.

Використання TinyCA

Figure 1
Фігура 1

Для запуску TinyCA видайте команду tinyca2 і головне вікно відкриється. Після першого запуску вас вітатиме вікно Create CA (див. Малюнок 1). Коли у вас вже є ЦО, це вікно не відкриється автоматично. У цьому вікні ви створите новий CA.

Figure 2
Малюнок 2

Інформація, яку ви повинні ввести, повинна бути досить очевидною, а також унікальною для ваших потреб. Після заповнення інформації натисніть кнопку ОК, що відкриє нове вікно (див. Малюнок 2). Це нове вікно буде містити конфігурації, які передаються SSL під час створення сертифіката. Як і в першому вікні, ці конфігурації будуть унікальними для ваших потреб.

Після заповнення цієї інформації натисніть кнопку ОК і буде створено ЦП. Залежно від швидкості роботи машини, процес може зайняти трохи часу. Швидше за все, процес завершиться протягом 30-60 секунд.

Керування вашими ЦА

Figure 3
Малюнок 3

Коли ваш КА заповнений, вас повернуть у вікно управління (див. Малюнок 3). У цьому вікні ви можете створити SubCA для свого основного ЦС, ви можете імпортувати ЦЗ, відкривати ЦС, створювати нові ЦА та (головне) експортувати ЦЗ. На малюнку 3 ви не бачите кнопки 'Експорт', але якщо ви натиснули стрілку вниз у верхній правій частині вікна, ви побачите ще одну кнопку, яку можна експортувати.

Звичайно, ви щойно створили кореневий сертифікат. Цей сертифікат використовуватиметься лише для:

  • створити новий під-CA: s
  • відкликати суб-CA: s
  • поновити під-CA: s
  • експортуємо сертифікат root-CA: s

Для будь-якого іншого, ніж вище, ви хочете створити SubCA. У наступній статті ми обговоримо створення SubCA, який фактично може бути використаний для вашого веб-сайту.

Заключні думки

TinyCA потребує багато роботи зі створення та управління сертифікаційними органами. Для всіх, хто управляє більш ніж одним веб-сайтом або сервером, цей інструмент, безумовно, повинен бути.