Εάν χρησιμοποιείτε οποιοδήποτε είδος διακομιστή που είναι προσβάσιμο από το κοινό, γνωρίζετε τη σημασία των αρχών πιστοποίησης (CA). Αυτά τα πιστοποιητικά δίνουν στους χρήστες σας κάποια ασφάλεια ότι ο ιστότοπός σας στην πραγματικότητα είναι αυτό που ισχυρίζεται ότι είναι και όχι μια πλαστογραφημένη έκδοση του ιστότοπού σας, που περιμένει να αποσπάσει κάποια δεδομένα ή να ρίξει ένα μικρό ωφέλιμο φορτίο σε μια μηχανή ανυποψίαστων χρηστών.
Το πρόβλημα με τις ΑΠ είναι ότι μπορεί να είναι λίγο δαπανηρό - ειδικά για τον διαχειριστή που διαχειρίζεται μια δωρεάν υπηρεσία ή ακόμα και μια μικρή επιχείρηση χωρίς τον προϋπολογισμό για την αγορά ΑΠ. Ευτυχώς δεν χρειάζεται να πληρώνετε τα χρήματα για τις ΑΠ, επειδή μπορείτε να τα δημιουργήσετε δωρεάν στη μηχανή του Linux με μια εύχρηστη εφαρμογή που ονομάζεται TinyCA.
Χαρακτηριστικά
- Δημιουργήστε όσες CAs και sub-CAs όπως χρειάζεστε.
- Δημιουργία και ανάκληση των πιστοποιητικών x509 S / MIME.
- Τα αιτήματα PKCS # 10 μπορούν να εισαχθούν και να υπογραφούν.
- Τόσο οι διακομιστές CA όσο και οι πελάτες CA μπορούν να εξαχθούν σε πολλαπλές μορφές.
Το TinyCA λειτουργεί ως φιλικό προς το χρήστη front-end για το openssl, έτσι δεν χρειάζεται να εκδίδετε όλες τις απαραίτητες εντολές για τη δημιουργία και τη διαχείριση των CA σας.
Εγκατάσταση του TinyCA
Δεν θα βρείτε TinyCA στις αποθήκες της διανομής σας. Μπορείτε είτε να προσθέσετε το απαραίτητο αποθετήριο στο αρχείο /etc/apt/sources.list είτε να εγκαταστήσετε ένα από τα δυαδικά αρχεία που υπάρχουν στην κύρια σελίδα. Ας χρησιμοποιήσουμε το Ubuntu και το Debian ως παράδειγμα για την εγκατάσταση.
Αν θέλετε να εγκαταστήσετε χρησιμοποιώντας το apt-get θα πρέπει πρώτα να προσθέσετε το αρχείο αποθετηρίου στο αρχείο sources.list. Ανοίξτε το αρχείο /etc/apt/sources.list με τον αγαπημένο σας επεξεργαστή και προσθέστε την ακόλουθη γραμμή:
deb //ftp.de.debian.org/debian sid main
ΣΗΜΕΙΩΣΗ: Αντικαταστήστε το "sid" με την έκδοση που χρησιμοποιείτε. Εάν χρησιμοποιείτε το Ubuntu 9.04 το παραπάνω παράδειγμα θα λειτουργήσει.
Τώρα εκτελέστε την εντολή:
sudo apt-get ενημέρωση
Θα παρατηρήσετε ότι το apt-get διαμαρτύρεται για την έλλειψη ενός κλειδιού gpg. Αυτό είναι εντάξει επειδή πρόκειται να εγκαταστήσετε χρησιμοποιώντας τη γραμμή εντολών. Τώρα εκδώστε την εντολή:
sudo apt-get να εγκαταστήσετε tinyca
Αυτό θα πρέπει να εγκαταστήσει το TinyCA χωρίς καταγγελία. Μπορεί να χρειαστεί να εγκαταστήσετε κάποιες εξαρτήσεις.
Χρησιμοποιώντας TinyCA
Για να εκτελεστεί το ζήτημα TinyCA, θα ανοίξει η εντολή tinyca2 και το κύριο παράθυρο. Κατά την πρώτη σας εκτέλεση θα σας υποδεχτεί το παράθυρο Δημιουργία CA (βλ. Εικόνα 1). Όταν έχετε ήδη CA, αυτό το παράθυρο δεν θα ανοίξει αυτόματα. Σε αυτό το παράθυρο θα δημιουργήσετε μια νέα CA.
Οι πληροφορίες που πρέπει να εισάγετε πρέπει να είναι αρκετά εμφανείς καθώς και μοναδικές στις ανάγκες σας. Αφού συμπληρώσετε τις πληροφορίες, κάντε κλικ στο κουμπί OK, το οποίο θα ανοίξει ένα νέο παράθυρο (βλ. Εικόνα 2). Αυτό το νέο παράθυρο θα περιέχει διαμορφώσεις που μεταβιβάζονται σε SSL κατά τη δημιουργία του πιστοποιητικού. Όπως και το πρώτο παράθυρο, αυτές οι ρυθμίσεις θα είναι μοναδικές για τις ανάγκες σας.
Αφού συμπληρώσετε αυτές τις πληροφορίες, κάντε κλικ στο κουμπί OK και θα δημιουργηθεί η ΑΠ. Ανάλογα με την ταχύτητα του μηχανήματός σας, η διαδικασία μπορεί να πάρει λίγο χρόνο. Πιθανότατα η διαδικασία θα ολοκληρωθεί μέσα σε 30-60 δευτερόλεπτα.
Διαχείριση των ΑΠ σας
Όταν ολοκληρωθεί η ΑΠ σας, θα επιστρέψετε στο παράθυρο διαχείρησης (βλ. Εικόνα 3). Σε αυτό το παράθυρο μπορείτε να δημιουργήσετε SubCAs για την κύρια CA σας, μπορείτε να εισάγετε CAs, ανοιχτές CAs, να δημιουργήσετε νέες CAs και (το πιο σημαντικό) CAs εξαγωγής. Δεν μπορείτε να δείτε το κουμπί Εξαγωγή στο σχήμα 3, αλλά αν κάνατε κλικ στο κάτω βέλος στο πάνω δεξιά μέρος του παραθύρου θα δείτε ένα άλλο κουμπί που μπορείτε να κάνετε κλικ για να εξαγάγετε μια ΑΠ.
Φυσικά μόλις δημιουργήσατε ένα πιστοποιητικό ρίζας. Αυτό το πιστοποιητικό θα χρησιμοποιηθεί μόνο για:
- δημιουργία νέας υπο-CA: s
- ανάκληση υπο-CA: s
- ανανέωση υπο-CA: s
- εξαγωγή του πιστοποιητικού ρίζας CA: s
Για οτιδήποτε άλλο από τα παραπάνω θα θέλατε να δημιουργήσετε μια SubCA. Θα συζητήσουμε τη δημιουργία μιας SubCA που μπορεί πραγματικά να χρησιμοποιηθεί για τον ιστότοπό σας στο επόμενο άρθρο.
Τελικές σκέψεις
Το TinyCA κάνει πολλή δουλειά από τη δημιουργία και τη διαχείριση των αρχών πιστοποίησης. Για όσους διαχειρίζονται περισσότερους από έναν ιστότοπους ή διακομιστές, αυτό το εργαλείο είναι ασφαλώς απαραίτητο.
