Vytvořte si vlastní certifikační autoritu s TinyCA

Pokud provozujete jakýkoli server, který je přístupný veřejnosti, znáte důležitost certifikačních autorit (CA). Tyto certifikáty dávají vašim uživatelům trochu pojištění, že váš web je ve skutečnosti tím, čím se prohlašuje, a ne spoofed verzí vašeho webu, která čeká na zachycení některých dat nebo na snížení malého užitečného zatížení na nic netušícího uživatele.

Problém s certifikační autoritou je, že mohou být trochu nákladné - zejména pro správce, který provozuje bezplatnou službu, nebo dokonce pro malou firmu bez rozpočtu na nákup certifikačních autorit. Naštěstí nemusíte vydělávat peníze pro CA, protože je můžete zdarma vytvořit na počítači se systémem Linux pomocí snadno použitelné aplikace zvané TinyCA.

Funkce

  • Vytvořte tolik CA a sub-CA, kolik potřebujete.
  • Vytvoření a zrušení certifikátů x509 S / MIME.
  • Žádosti PKCS # 10 lze importovat a podepisovat.
  • Serverové i klientské certifikační autority lze exportovat do několika formátů.

TinyCA funguje jako uživatelsky přívětivý front-end pro openssl, takže nemusíte vydávat všechny potřebné příkazy k vytvoření a správě vašich CA.

Instalace TinyCA

TinyCA nenajdete v úložištích vaší distribuce. Do svého souboru /etc/apt/sources.list můžete přidat potřebné úložiště nebo můžete nainstalovat jeden z binárních souborů na hlavní stránce. Jako příklad pro instalaci použijeme Ubuntu a Debian.

Pokud chcete instalovat pomocí apt-get, musíte nejprve přidat soubor úložiště do souboru sources.list. Otevřete tedy soubor /etc/apt/sources.list pomocí svého oblíbeného editoru a přidejte následující řádek:

deb //ftp.de.debian.org/debian sid main

POZNÁMKA: Nahraďte „sid“ verzí, kterou používáte. Pokud používáte Ubuntu 9.04, výše uvedený příklad bude fungovat.

Nyní spusťte příkaz:

aktualizace sudo apt-get

Všimnete si, že apt-get si stěžuje na nedostatek klíče gpg. To je v pořádku, protože se chystáme nainstalovat pomocí příkazového řádku. Nyní zadejte příkaz:

sudo apt-get install tinyca

To by mělo nainstalovat TinyCA bez stížnosti. Možná budete muset v pořádku nainstalovat některé závislosti.

Používání TinyCA

Obrázek 1

Pro spuštění TinyCA se otevře příkaz tinyca2 a otevře se hlavní okno. Při prvním spuštění vás uvítá okno Vytvořit CA (viz obrázek 1). Pokud již máte CA, toto okno se automaticky neotevře. V tomto okně vytvoříte novou certifikační autoritu.

Obrázek 2

Informace, které musíte zadat, by měly být zcela zřejmé a jedinečné podle vašich potřeb. Po vyplnění informace klikněte na OK, čímž se otevře nové okno (viz obrázek 2). Toto nové okno bude obsahovat konfigurace, které jsou předávány do SSL během vytváření certifikátu. Stejně jako v prvním okně budou tyto konfigurace jedinečné podle vašich potřeb.

Po vyplnění těchto informací klikněte na tlačítko OK a vytvoří se CA. V závislosti na rychlosti vašeho stroje může tento proces chvíli trvat. Proces bude s největší pravděpodobností dokončen do 30-60 sekund.

Správa vašich CA.

Obrázek 3

Po dokončení vaší CA se vrátíte zpět do okna správy (viz obrázek 3). V tomto okně můžete vytvořit hlavní certifikační autority pro hlavní certifikační autoritu, importovat certifikační autority, otevřít certifikační autority, vytvářet nové certifikační autority a (především) exportovat certifikační autority. Na obrázku 3 nevidíte tlačítko Export, ale pokud byste měli kliknout na šipku dolů v pravé horní části okna, viděli byste další tlačítko, můžete klepnutím exportovat certifikační autoritu.

Právě jste si právě vytvořili kořenový certifikát. Tento certifikát bude použit pouze pro:

  • vytvořit nové sub-CA: s
  • odvolání sub-CA: s
  • obnovit sub-CA: s
  • exportujte kořenový certifikát CA: s

Pro cokoli jiného než výše, byste chtěli vytvořit SubCA. V dalším článku se budeme zabývat vytvořením SubCA, kterou lze pro svůj web skutečně použít.

Závěrečné myšlenky

TinyCA vynakládá spoustu práce při vytváření a správě certifikačních autorit. Pro každého, kdo spravuje více než jeden web nebo server, je tento nástroj rozhodně nutností.