Om du driver någon form av server som är tillgänglig för allmänheten, vet du vikten av certifikatmyndigheter (CA). Dessa certifikat ger dina användare lite försäkring för att din webbplats faktiskt är vad den påstår sig vara och inte en falsk version av din webbplats som väntar på att antingen hava lite data eller släppa en liten nyttolast på en intetanande användares maskin.
Problemet med CA: er är att de kan vara lite kostsamma - särskilt för administratören som driver en gratis tjänst, eller till och med ett litet företag utan budgeten för att köpa CA: er. Lyckligtvis behöver du inte betala ut pengarna för CA: er, eftersom du kan skapa dem gratis på din Linux-maskin med ett lättanvänt program som heter TinyCA.
Funktioner
- Skapa så många CA och sub-CA som du behöver.
- Skapa och återkalla x509 S / MIME-certifikat.
- PKCS # 10-förfrågningar kan importeras och signeras.
- Både server- och klient-CA: er kan exporteras i flera format.
TinyCA fungerar som en användarvänlig front-end för openssl, så du behöver inte utfärda alla nödvändiga kommandon för att skapa och hantera dina CA: er.
Installera TinyCA
Du hittar inte TinyCA i din distributionslager. Du kan antingen lägga till nödvändigt arkiv i filen /etc/apt/sources.list eller så kan du installera från en av binärerna som finns på startsidan. Låt oss använda Ubuntu och Debian som ett exempel för installation.
Om du vill installera med apt-get måste du först lägga till arkivfilen i filen sources.list. Så öppna upp filen /etc/apt/sources.list med din favoritredigerare och lägg till följande rad:
deb //ftp.de.debian.org/debian sid main
OBS: Byt ut "sid" med den version du använder. Om du använder Ubuntu 9.04 fungerar exemplet ovan.
Kör nu kommandot:
sudo apt-get-uppdatering
Du kommer att märka att apt-get klagar över bristen på en gpg-nyckel. Det är okej eftersom vi kommer att installera med kommandoraden. Ge nu kommandot:
sudo apt-get install tinyca
Detta bör installera TinyCA utan klagomål. Du kanske måste okej installationen av vissa beroenden.
Använda TinyCA
För att köra TinyCA utfärdar kommandot tinyca2 och huvudfönstret öppnas. Vid din första körning hälsas du av fönstret Skapa CA (se figur 1). När du redan har CA öppnas detta fönster inte automatiskt. I det här fönstret skapar du en ny CA.
Informationen du måste ange ska vara ganska uppenbar och unik för dina behov. När du har fyllt i informationen klickar du på OK som öppnar ett nytt fönster (se figur 2). Detta nya fönster kommer att innehålla konfigurationer som skickas till SSL under skapandet av certifikatet. Liksom det första fönstret kommer dessa konfigurationer att vara unika för dina behov.
När du har fyllt i denna information klickar du på OK-knappen så kommer CA att skapas. Beroende på maskinens hastighet kan processen ta lite tid. Processen kommer troligen att slutföras inom 30-60 sekunder.
Hantera dina CA: er
När din CA är klar kommer du tillbaka till hanteringsfönstret (se figur 3). I det här fönstret kan du skapa SubCA: er för din huvudsakliga CA, du kan importera CA: er, öppna CA: er, skapa nya CA: er och (viktigast av allt) exportera CA: er. Du kan inte se Export-knappen i figur 3, men om du klickade på nedåtpilen på det övre högra delen av fönstret skulle du se en annan knapp som du kan klicka för att exportera en CA.
Naturligtvis har du precis skapat ett rotcertifikat. Detta certifikat kommer endast att användas för:
- skapa nya sub-CA: s
- återkalla sub-CA: s
- förnya sub-CA: s
- exportera root-CA: s-certifikatet
För något annat än ovan vill du skapa en SubCA. Vi kommer att diskutera att skapa en SubCA som faktiskt kan användas för din webbplats i nästa artikel.
Slutgiltiga tankar
TinyCA tar mycket arbete med att skapa och hantera certifikatmyndigheter. För alla som hanterar mer än en webbplats eller server är detta verktyg verkligen ett måste.
