Als u een server gebruikt die toegankelijk is voor het publiek, weet u het belang van certificeringsinstanties (CA's). Deze certificaten geven uw gebruikers een beetje de verzekering dat uw site eigenlijk is wat het beweert te zijn en niet een vervalste versie van uw site die wacht om gegevens vast te pakken of een kleine lading op een computer van nietsvermoedende gebruikers te plaatsen.
Het probleem met CA's is dat ze een beetje duur kunnen zijn - vooral voor de beheerder die een gratis service uitvoert, of zelfs een klein bedrijf zonder het budget voor het kopen van CA's. Gelukkig hoef je het geld voor CA's niet uit te betalen, omdat je ze gratis op je Linux-machine kunt maken met een eenvoudig te gebruiken applicatie genaamd TinyCA.
Kenmerken
- Maak zoveel CA's en sub-CA's aan als u nodig hebt.
- Creatie en intrekking van x509 S / MIME-certificaten.
- PKCS # 10-aanvragen kunnen worden geïmporteerd en ondertekend.
- Zowel server- als client-CA's kunnen in meerdere indelingen worden geëxporteerd.
TinyCA werkt als een gebruiksvriendelijk front-end voor openssl, zodat u niet alle benodigde opdrachten hoeft uit te voeren om uw CA's te maken en te beheren.
TinyCA installeren
U zult TinyCA niet vinden in de repositories van uw distributie. Je kunt de benodigde repository toevoegen aan je /etc/apt/sources.list-bestand of je kunt een van de binaire bestanden installeren die je op de hoofdpagina kunt vinden. Laten we Ubuntu en Debian als voorbeeld voor installatie gebruiken.
Als u met apt-get wilt installeren, moet u eerst het repository-bestand toevoegen aan uw sources.list-bestand. Open dus het bestand /etc/apt/sources.list met je favoriete editor en voeg de volgende regel toe:
deb //ftp.de.debian.org/debian sid main
OPMERKING: Vervang "sid" door de versie die u gebruikt. Als u Ubuntu 9.04 gebruikt, werkt het bovenstaande voorbeeld.
Voer nu het commando uit:
sudo apt-get update
U zult merken dat apt-get klaagt over het ontbreken van een gpg-sleutel. Dat is goed, want we gaan installeren met behulp van de opdrachtregel. Geef nu het commando:
sudo apt-get install tinyca
Dit zou TinyCA zonder klachten moeten installeren. Mogelijk moet u de installatie van enkele afhankelijkheden in orde brengen.
TinyCA gebruiken
Om TinyCA uit te voeren, geeft u de opdracht tinyca2 op en het hoofdvenster wordt geopend. Bij uw eerste run wordt u begroet door het venster Create CA (zie figuur 1). Als u al CA's hebt, wordt dit venster niet automatisch geopend. In dit venster maakt u een nieuwe CA.
De informatie die u moet invoeren, moet redelijk duidelijk zijn en uniek zijn voor uw behoeften. Nadat u de informatie hebt ingevuld, klikt u op OK om een nieuw venster te openen (zie afbeelding 2). Dit nieuwe venster bevat configuraties die tijdens het aanmaken van het certificaat aan SSL worden doorgegeven. Net als het eerste venster zijn deze configuraties uniek voor uw behoeften.
Nadat u deze informatie hebt ingevuld, klikt u op OK en de CA wordt aangemaakt. Afhankelijk van de snelheid van uw machine kan het proces enige tijd duren. Hoogstwaarschijnlijk zal het proces binnen 30-60 seconden worden voltooid.
Beheer van uw CA's
Wanneer uw CA is voltooid, keert u terug naar het beheervenster (zie afbeelding 3). In dit venster kunt u SubCA's maken voor uw hoofd-CA, u kunt CA's importeren, CA's openen, nieuwe CA's maken en (vooral) CA's exporteren. U kunt de knop Exporteren niet zien in Afbeelding 3, maar als u op de pijl-omlaag rechtsboven in het venster klikt, ziet u een andere knop waarop u kunt klikken om een CA te exporteren.
Natuurlijk heb je zojuist een rootcertificaat gemaakt. Dit certificaat wordt alleen gebruikt voor:
- maak een nieuwe sub-CA: s
- sub-CA intrekken: s
- sub-CA vernieuwen: s
- exporteer het root-CA: s certificaat
Voor iets anders dan het bovenstaande zou je een SubCA willen maken. In het volgende artikel bespreken we het maken van een SubCA die daadwerkelijk voor uw website kan worden gebruikt.
Laatste gedachten
TinyCA neemt veel werk van de oprichting en het beheer van certificaatautoriteiten. Voor iedereen die meer dan één website of server beheert, is deze tool zeker een must-have.
