Если вы используете какой-либо сервер, который доступен для общественности, вы знаете важность центров сертификации (ЦС). Эти сертификаты дают вашим пользователям некоторую гарантию того, что ваш сайт на самом деле является тем, чем он утверждает, а не поддельной версией вашего сайта, ожидающей либо получить какие-то данные, либо перенести небольшую полезную нагрузку на компьютер ничего не подозревающих пользователей.
Проблема с центрами сертификации заключается в том, что они могут быть немного дорогостоящими, особенно для администратора, работающего с бесплатной службой, или даже для небольшого предприятия без бюджета на покупку центра сертификации. К счастью, вам не нужно вкладывать деньги в ЦС, потому что вы можете бесплатно их создавать на своем компьютере с Linux с помощью простого в использовании приложения под названием TinyCA.
Характеристики
- Создайте столько CA и sub-CA, сколько вам нужно.
- Создание и отзыв сертификатов x509 S / MIME.
- Запросы PKCS # 10 могут быть импортированы и подписаны.
- И серверные, и клиентские центры сертификации можно экспортировать в нескольких форматах.
TinyCA работает как дружественный интерфейс для openssl, поэтому вам не нужно вводить все необходимые команды для создания и управления вашими CA.
Установка TinyCA
Вы не найдете TinyCA в репозиториях вашего дистрибутива. Вы можете добавить необходимый репозиторий в свой файл /etc/apt/sources.list или установить один из двоичных файлов на главной странице. Давайте использовать Ubuntu и Debian в качестве примера для установки.
Если вы хотите установить с помощью apt-get, вам сначала нужно добавить файл репозитория в ваш файл sources.list. Поэтому откройте файл /etc/apt/sources.list в вашем любимом редакторе и добавьте следующую строку:
deb //ftp.de.debian.org/debian sid main
ПРИМЕЧАНИЕ. Замените «sid» на версию, которую вы используете. Если вы используете Ubuntu 9.04, приведенный выше пример будет работать.
Теперь запустите команду:
sudo apt-get update
Вы заметите, что apt-get жалуется на отсутствие ключа gpg. Это нормально, потому что мы собираемся установить с помощью командной строки. Теперь выполните команду:
sudo apt-get установить tinyca
Это должно установить TinyCA без жалоб. Возможно, вам придется одобрить установку некоторых зависимостей.
Использование TinyCA
Для запуска TinyCA введите команду tinyca2, и откроется главное окно. После первого запуска вы увидите окно «Создание CA» (см. Рисунок 1). Если у вас уже есть ЦС, это окно не открывается автоматически. В этом окне вы создадите новый CA.
Информация, которую вы должны ввести, должна быть достаточно очевидной и уникальной для ваших нужд. После того, как вы заполните информацию, нажмите OK, чтобы открыть новое окно (см. Рисунок 2). Это новое окно будет содержать конфигурации, которые передаются по SSL во время создания сертификата. Как и в первом окне, эти конфигурации будут уникальными для ваших нужд.
После того, как вы заполните эту информацию, нажмите кнопку ОК, и ЦС будет создан. В зависимости от скорости вашей машины процесс может занять немного времени. Скорее всего, процесс будет завершен в течение 30-60 секунд.
Управление вашими CA
Когда ваш ЦС будет завершен, вы вернетесь в окно управления (см. Рис. 3). В этом окне вы можете создать SubCA для своего основного CA, вы можете импортировать CA, открывать CA, создавать новые CA и (что наиболее важно) экспортировать CA. Вы не можете увидеть кнопку «Экспорт» на рисунке 3, но если бы вы щелкнули стрелку вниз в верхней правой части окна, вы бы увидели другую кнопку, которую вы можете нажать, чтобы экспортировать ЦС.
Конечно, вы только что создали корневой сертификат. Этот сертификат будет использоваться только для:
- создать новый суб-CA: s
- отозвать суб-CA: s
- обновить sub-CA: s
- экспортировать сертификат root-CA: s
Для чего-либо, кроме вышеупомянутого, вы захотите создать SubCA. Мы обсудим создание SubCA, которая может фактически использоваться для вашего сайта в следующей статье.
Последние мысли
TinyCA берет на себя большую работу по созданию и управлению центрами сертификации. Для любого, кто управляет более чем одним веб-сайтом или сервером, этот инструмент, безусловно, необходим.
