Jeśli korzystasz z dowolnego rodzaju serwera, który jest dostępny publicznie, wiesz, jak ważne są urzędy certyfikacji. Te certyfikaty dają użytkownikom pewne ubezpieczenie, że witryna jest w rzeczywistości tym, za co się podaje, a nie sfałszowaną wersją witryny czekającą na przechwycenie niektórych danych lub zrzucenie niewielkiego ładunku na komputer niczego niepodejrzewającego użytkownika.
Problem z urzędami certyfikacji polega na tym, że mogą być one nieco kosztowne - szczególnie dla administratora prowadzącego bezpłatną usługę, a nawet małej firmy bez budżetu na zakup urzędów certyfikacji. Na szczęście nie musisz wydawać pieniędzy na CA, ponieważ możesz je tworzyć za darmo na komputerze z systemem Linux za pomocą łatwej w użyciu aplikacji o nazwie TinyCA.
funkcje
- Utwórz tyle urzędów certyfikacji i podrzędnych urzędów certyfikacji, ile potrzebujesz.
- Utworzenie i odwołanie certyfikatów x509 S / MIME.
- Żądania PKCS # 10 można importować i podpisywać.
- Zarówno serwery, jak i klienty CA mogą być eksportowane w wielu formatach.
TinyCA działa jako przyjazny dla użytkownika interfejs dla openssl, więc nie musisz wydawać wszystkich niezbędnych poleceń, aby tworzyć i zarządzać swoimi urzędami certyfikacji.
Instalowanie TinyCA
Nie znajdziesz TinyCA w repozytoriach twojej dystrybucji. Możesz dodać niezbędne repozytorium do pliku /etc/apt/sources.list lub zainstalować z jednego z plików binarnych znajdujących się na stronie głównej. Wykorzystajmy Ubuntu i Debian jako przykład instalacji.
Jeśli chcesz zainstalować za pomocą apt-get, musisz najpierw dodać plik repozytorium do pliku sources.list. Otwórz plik /etc/apt/sources.list w swoim ulubionym edytorze i dodaj następujący wiersz:
deb //ftp.de.debian.org/debian sid main
UWAGA: Zamień „sid” na używaną wersję. Jeśli używasz Ubuntu 9.04, powyższy przykład będzie działał.
Teraz uruchom polecenie:
sudo apt-get update
Zauważysz, że apt-get narzeka na brak klucza gpg. W porządku, ponieważ zamierzamy zainstalować przy użyciu wiersza polecenia. Teraz wydaj polecenie:
sudo apt-get install tinyca
To powinno zainstalować TinyCA bez reklamacji. Może być konieczne zatwierdzenie instalacji niektórych zależności.
Korzystanie z TinyCA
Aby uruchomić TinyCA, wydaj polecenie tinyca2 i otworzy się okno główne. Przy pierwszym uruchomieniu pojawi się okno Utwórz urząd certyfikacji (patrz rysunek 1). Jeśli masz już urzędy certyfikacji, okno to nie otworzy się automatycznie. W tym oknie utworzysz nowy urząd certyfikacji.
Informacje, które musisz wprowadzić, powinny być dość widoczne, a także unikalne dla Twoich potrzeb. Po wypełnieniu informacji kliknij OK, co otworzy nowe okno (patrz rysunek 2). To nowe okno będzie zawierać konfiguracje, które są przekazywane na SSL podczas tworzenia certyfikatu. Podobnie jak pierwsze okno, te konfiguracje będą dostosowane do twoich potrzeb.
Po wypełnieniu tych informacji kliknij przycisk OK, a urząd certyfikacji zostanie utworzony. W zależności od prędkości maszyny proces może zająć trochę czasu. Najprawdopodobniej proces zostanie zakończony w ciągu 30-60 sekund.
Zarządzanie swoimi urzędami certyfikacji
Po ukończeniu urzędu certyfikacji nastąpi powrót do okna zarządzania (patrz rysunek 3). W tym oknie możesz tworzyć SubCA dla swojego głównego CA, możesz importować CA, otwierać CA, tworzyć nowe CA i (co najważniejsze) eksportować CA. Nie widać przycisku Eksportuj na rysunku 3, ale jeśli klikniesz strzałkę w dół w prawej górnej części okna, zobaczysz inny przycisk, który możesz kliknąć, aby wyeksportować urząd certyfikacji.
Oczywiście właśnie utworzyłeś certyfikat główny. Ten certyfikat będzie używany tylko do:
- utwórz nowe sub-CA: s
- odwołać sub-CA: s
- odnów sub-CA: s
- wyeksportuj certyfikat głównego urzędu certyfikacji
Dla wszystkiego innego niż powyższe, chciałbyś stworzyć SubCA. W następnym artykule omówimy tworzenie SubCA, które można faktycznie wykorzystać na swojej stronie internetowej.
Końcowe przemyślenia
TinyCA zajmuje dużo pracy przy tworzeniu i zarządzaniu urzędami certyfikacji. Dla każdego, kto zarządza więcej niż jedną stroną internetową lub serwerem, to narzędzie z pewnością musi mieć.
