Ако стартирате какъвто и да е вид сървър, който е достъпен за обществеността, знаете важността на органите за сертифициране (CA). Тези сертификати дават на вашите потребители малко застраховка, че вашият сайт всъщност е това, за което твърди, че е, а не подправена версия на вашия сайт, която чака или да пренасочи някои данни, или да пусне малък полезен товар върху машината на нищо неподозиращите потребители.
Проблемът с CA е, че те могат да бъдат малко скъпи - особено за администратора, който изпълнява безплатна услуга или дори малък бизнес без бюджет за закупуване на CA. За щастие не е нужно да разделяте парите за CA, защото можете да ги създадете безплатно на вашата Linux машина с лесно за използване приложение, наречено TinyCA.
Характеристика
- Създайте толкова CA и sub-CA, колкото са ви необходими.
- Създаване и отнемане на x509 S / MIME сертификати.
- PKCS # 10 заявки могат да бъдат импортирани и подписани.
- И сървърните, и клиентските CA могат да бъдат експортирани в множество формати.
TinyCA работи като удобен за потребителя преден край за openssl, така че не е нужно да издавате всички необходими команди, за да създадете и управлявате вашите CA.
Инсталиране на TinyCA
Няма да намерите TinyCA в хранилищата на вашата дистрибуция. Можете или да добавите необходимото хранилище във вашия /etc/apt/sources.list файл или можете да инсталирате от един от двоичните файлове, намерени на главната страница. Нека използваме Ubuntu и Debian като пример за инсталиране.
Ако искате да инсталирате с помощта на apt-get, ще трябва първо да добавите файла на хранилището във файла source.list. Затова отворете файла /etc/apt/sources.list с любимия си редактор и добавете следния ред:
deb //ftp.de.debian.org/debian sid main
ЗАБЕЛЕЖКА: Заменете „sid“ с версията, която използвате. Ако използвате Ubuntu 9.04, примерът по-горе ще работи.
Сега изпълнете командата:
sudo apt-get update
Ще забележите, че apt-get се оплаква от липсата на gpg ключ. Това е добре, защото ще инсталираме с помощта на командния ред. Сега издайте командата:
sudo apt-get install tinyca
Това трябва да инсталира TinyCA без оплакване. Може да се наложи да инсталирате някои зависимости.
Използване на TinyCA
За да стартирате TinyCA, издайте командата tinyca2 и главният прозорец ще се отвори. При първото ти изпълнение ще бъдете посрещнати от прозореца Създаване на CA (вижте Фигура 1). Когато вече имате CA, този прозорец няма да се отвори автоматично. В този прозорец ще създадете нов CA.
Информацията, която трябва да въведете, трябва да бъде доста очевидна, както и уникална за вашите нужди. След като попълните информацията, щракнете върху OK, което ще отвори нов прозорец (вижте Фигура 2). Този нов прозорец ще съдържа конфигурации, които се предават на SSL по време на създаването на сертификата. Подобно на първия прозорец, тези конфигурации ще бъдат уникални за вашите нужди.
След като попълните тази информация, натиснете бутона OK и CA ще бъде създаден. В зависимост от скоростта на вашата машина, процесът може да отнеме малко време. Най-вероятно процесът ще приключи в рамките на 30-60 секунди.
Управление на вашите CA
Когато вашият CA е завършен, ще бъдете върнат обратно в прозореца за управление (вижте Фигура 3). В този прозорец можете да създадете SubCA за основния си CA, можете да импортирате CA, да отворите CA, да създадете нови CA и (най-важното) да експортирате CA. На фигура 3 не можете да видите бутона за експортиране, но ако щракнете върху стрелката надолу в горната дясна част на прозореца, ще видите друг бутон, който можете да щракнете, за да експортирате CA.
Разбира се, че току-що сте създали Root Certificate. Този сертификат ще се използва само за:
- създайте нов под-CA: s
- оттегля под-CA: s
- подновяване на под-CA: s
- експортирайте сертификата root-CA: s
За всичко различно от горното, бихте искали да създадете SubCA. Ще обсъдим създаването на SubCA, който всъщност може да се използва за вашия уебсайт в следващата статия.
Заключителни мисли
TinyCA отнема много работа по създаването и управлението на сертификационни органи. За всеки, който управлява повече от един уеб сайт или сървър, този инструмент със сигурност трябва да има.
