Ja jūs darbināt jebkāda veida serverus, kas ir pieejami sabiedrībai, jūs zināt sertifikātu autoritāšu (CA) nozīmi. Šie sertifikāti sniedz jūsu lietotājiem zināmu garantiju, ka jūsu vietne patiesībā ir tāda, kāda tā apgalvo, nevis vietnes krāpnieciska versija, kas gaida, vai nu, lai aizkavētu dažus datus, vai arī nomestu nelielu kravas daudzumu nenojaušamā lietotāja mašīnā.
CA problēma ir tā, ka tās var būt nedaudz dārgas - it īpaši administratoram, kurš vada bezmaksas pakalpojumu, vai pat mazam biznesam bez budžeta CA pirkšanai. Par laimi jums nav jāizsvītro nauda CA, jo tos varat bez maksas izveidot savā Linux mašīnā, izmantojot ērti lietojamu lietojumprogrammu TinyCA.
Iespējas
- Izveidojiet tik daudz SI un apakš CA, cik nepieciešams.
- X509 S / MIME sertifikātu izveidošana un atsaukšana.
- PKCS # 10 pieprasījumus var importēt un parakstīt.
- Gan servera, gan klienta SI var eksportēt vairākos formātos.
TinyCA darbojas kā lietotājam draudzīgs openssl interfeiss, tāpēc jums nav jāizdod visas nepieciešamās komandas, lai izveidotu un pārvaldītu CA.
TinyCA instalēšana
Jūs neatradīsit TinyCA izplatīšanas krātuvēs. Varat vai nu pievienot vajadzīgo repozitoriju failam /etc/apt/sources.list, vai arī instalēt vienā no binārajiem failiem, kas atrodami galvenajā lapā. Kā piemēru instalēšanai izmantosim Ubuntu un Debian.
Ja vēlaties instalēt, izmantojot apt-get, jums vispirms būs jāpievieno repozitorija fails savam avotu sarakstam. Tātad atveriet /etc/apt/sources.list failu ar savu iecienīto redaktoru un pievienojiet šādu rindu:
deb //ftp.de.debian.org/debian sid main
PIEZĪME. Aizstājiet "sid" ar versiju, kuru izmantojat. Ja jūs izmantojat Ubuntu 9.04, darbosies iepriekš minētais piemērs.
Tagad palaidiet komandu:
sudo apt-get atjauninājums
Jūs pamanīsit, ka apt-get sūdzas par gpg atslēgas trūkumu. Tas ir labi, jo mēs instalēsim, izmantojot komandrindu. Tagad izdod komandu:
sudo apt-get instalēt tinyca
Tam vajadzētu instalēt TinyCA bez sūdzībām. Jums, iespējams, nāksies pareizi instalēt dažas atkarības.
Izmantojot TinyCA
Lai palaistu TinyCA, jāizdod komanda tinyca2, un tiks atvērts galvenais logs. Pēc pirmā brauciena jūs sagaidīs logs Izveidot CA (skat. 1. attēlu). Ja jums jau ir SI, šis logs netiks automātiski atvērts. Šajā logā jūs izveidosit jaunu SI.
Informācijai, kas jums jāievada, vajadzētu būt diezgan acīmredzamai, kā arī unikālai atbilstoši jūsu vajadzībām. Pēc informācijas aizpildīšanas noklikšķiniet uz Labi, lai atvērtu jaunu logu (skat. 2. attēlu). Šajā jaunajā logā būs konfigurācijas, kuras sertifikāta izveides laikā tiek nodotas SSL. Tāpat kā pirmais logs, šīs konfigurācijas būs unikālas jūsu vajadzībām.
Kad esat aizpildījis šo informāciju, noklikšķiniet uz pogas Labi, un SI tiks izveidota. Atkarībā no jūsu mašīnas ātruma process var aizņemt nedaudz laika. Visticamāk, process tiks pabeigts 30–60 sekunžu laikā.
CA pārvaldīšana
Kad jūsu CA būs pabeigta, jūs tiksit atgriezts pārvaldības logā (skat. 3. attēlu). Šajā logā varat izveidot SubCA savai galvenajai SI, jūs varat importēt CA, atvērt CA, izveidot jaunas CA un (pats svarīgākais) eksportēt CA. 3. attēlā jūs neredzat pogu Eksportēt, taču, ja loga augšējā labajā pusē būtu jānoklikšķina uz lejupvērstās bultiņas, jūs redzētu citu pogu, uz kuras var noklikšķināt, lai eksportētu SI.
Protams, jūs tikko esat izveidojis Saknes sertifikātu. Šis sertifikāts tiks izmantots tikai:
- izveidot jaunu apakš-CA: s
- atsaukt apakš-CA: s
- atjaunot apakš-CA: s
- eksportēt root-CA sertifikātu
Lai izveidotu visu citu, izņemot iepriekš minēto, jūs vēlaties izveidot SubCA. Nākamajā rakstā mēs apspriedīsim SubCA izveidi, kuru faktiski var izmantot jūsu vietnei.
Noslēguma domas
TinyCA prasa daudz darba sertifikātu autoritāšu izveidē un pārvaldībā. Ikvienam, kas pārvalda vairāk nekā vienu vietni vai serveri, šis rīks noteikti ir nepieciešams.
