Якщо ви запускаєте будь-який сервер, доступний громадськості, ви знаєте важливість органів сертифікації (CA). Ці сертифікати дають вашим користувачам трохи страхування, що ваш сайт насправді є таким, яким він є, а не підробленою версією вашого сайту, яка очікує на те, щоби обробити деякі дані або перекинути невелику корисну навантаження на машину, що не підозрює користувачів.
Проблема з ЦО полягає в тому, що вони можуть бути трохи затратними - особливо для адміністратора, який здійснює безкоштовну послугу або навіть малого бізнесу без бюджету на придбання ЦП. На щастя, вам не доведеться розкладати гроші на ЦА, оскільки ви можете їх безкоштовно створити на вашому Linux-версії за допомогою простого у користуванні програми під назвою TinyCA.
Особливості
- Створіть стільки ЦО та суб-ЦО, скільки вам потрібно.
- Створення та відкликання сертифікатів x509 S / MIME.
- Запити PKCS №10 можна імпортувати та підписувати.
- І серверні, і клієнтські ЦО можна експортувати в декількох форматах.
TinyCA працює як зручний інтерфейс для openssl, тому вам не доведеться видавати всі необхідні команди для створення та керування вашими ЦО.
Встановлення TinyCA
Ви не знайдете TinyCA у сховищах вашого дистрибутива. Ви можете додати необхідний сховище у файл /etc/apt/sources.list або ви можете встановити один із бінарних файлів на головній сторінці. Давайте використовувати Ubuntu та Debian як приклад для установки.
Якщо ви хочете встановити за допомогою apt-get, вам потрібно спершу додати файл сховища до файлу source.list. Тож відкрийте файл /etc/apt/sources.list у своєму улюбленому редакторі та додайте наступний рядок:
deb //ftp.de.debian.org/debian sid main
ПРИМІТКА. Замініть "sid" версією, яку ви використовуєте. Якщо ви використовуєте Ubuntu 9.04, приклад вище буде працювати.
Тепер запустіть команду:
sudo apt-get update
Ви помітите, що apt-get скаржиться на відсутність клавіші gpg. Це добре, тому що ми збираємось встановити за допомогою командного рядка. Тепер видайте команду:
sudo apt-get install tinyca
Це має встановити TinyCA без нарікань. Можливо, вам доведеться добре встановити деякі залежності.
Використання TinyCA
Для запуску TinyCA видайте команду tinyca2 і відкриється головне вікно. Після першого запуску вас вітатиме вікно Create CA (див. Малюнок 1). Коли у вас вже є ЦО, це вікно не відкриється автоматично. У цьому вікні ви створите новий CA.
Інформація, яку ви повинні ввести, повинна бути досить очевидною, а також унікальною для ваших потреб. Після заповнення інформації натисніть ОК, що відкриє нове вікно (див. Малюнок 2). Це нове вікно буде містити конфігурації, передані SSL під час створення сертифіката. Як і в першому вікні, ці конфігурації будуть унікальними для ваших потреб.
Після заповнення цієї інформації натисніть кнопку ОК і буде створено ЦП. Залежно від швидкості роботи машини, процес може зайняти трохи часу. Швидше за все, процес завершиться протягом 30-60 секунд.
Керування вашими ЦА
Коли ваш КА заповнений, вас повернуть у вікно управління (див. Малюнок 3). У цьому вікні ви можете створити SubCA для свого основного ЦС, ви можете імпортувати ЦЗ, відкрити ЦЗ, створити нові ЦА та (головне) експортувати ЦЗ. На малюнку 3 ви не бачите кнопки "Експорт", але якщо ви натиснули стрілку вниз у верхній правій частині вікна, ви побачите ще одну кнопку, яку можна експортувати.
Звичайно, ви щойно створили кореневий сертифікат. Цей сертифікат буде використовуватися лише для:
- створити новий під-CA: s
- відкликати суб-CA: s
- поновити під-CA: s
- експортувати сертифікат root-CA: s
Для всього іншого, ніж вище, ви хочете створити SubCA. Ми будемо обговорювати створення SubCA, який фактично може бути використаний для вашого веб-сайту у наступній статті.
Заключні думки
TinyCA потребує багато роботи над створенням та управлінням сертифікаційними органами. Для всіх, хто управляє більш ніж одним веб-сайтом або сервером, цей інструмент, безумовно, повинен бути.
