दस्तावेज़ीकरण5.5. प्रमाणीकरण करने वाला प्राधिकार
यदि आपके नेटवर्क पर सेवाओं के लिए कुछ स्व-हस्ताक्षरित प्रमाणपत्रों से अधिक की आवश्यकता होती है तो यह आपके स्वयं के आंतरिक सेटअप को स्थापित करने के लिए अतिरिक्त प्रयास के लायक हो सकता है प्रमाणन प्राधिकरण (सीए). अपने स्वयं के सीए द्वारा हस्ताक्षरित प्रमाणपत्रों का उपयोग करने से, प्रमाणपत्रों का उपयोग करने वाली विभिन्न सेवाओं को उसी सीए से जारी प्रमाणपत्रों का उपयोग करके अन्य सेवाओं पर आसानी से भरोसा करने की अनुमति मिलती है।
1. सबसे पहले, CA प्रमाणपत्र और संबंधित फ़ाइलों को रखने के लिए निर्देशिकाएँ बनाएँ:
सुडो एमकेडीआईआर /आदि/एसएसएल/सीए
सुडो एमकेडीआईआर /etc/ssl/newcerts
2. सीए को संचालित करने के लिए कुछ अतिरिक्त फ़ाइलों की आवश्यकता होती है, एक सीए द्वारा उपयोग किए गए अंतिम सीरियल नंबर का ट्रैक रखने के लिए, प्रत्येक प्रमाणपत्र में एक अद्वितीय सीरियल नंबर होना चाहिए, और कौन से प्रमाणपत्र जारी किए गए हैं यह रिकॉर्ड करने के लिए एक और फ़ाइल:
सुडो श -सी "इको '01' > /etc/ssl/CA/सीरियल" सुडो टच /etc/ssl/CA/index.txt
3. तीसरी फ़ाइल CA कॉन्फ़िगरेशन फ़ाइल है। हालाँकि यह कड़ाई से आवश्यक नहीं है, एकाधिक प्रमाणपत्र जारी करते समय यह बहुत सुविधाजनक है। संपादन करना /etc/ssl/openssl.cnf, और इसमें [सीए_डिफ़ॉल्ट] परिवर्तन:
dir = /etc/ssl # जहां सब कुछ रखा जाता है डेटाबेस = $dir/CA/index.txt # डेटाबेस इंडेक्स फ़ाइल। प्रमाणपत्र = $dir/certs/cacert.pem # CA प्रमाणपत्र
सीरियल = $dir/CA/सीरियल # वर्तमान सीरियल नंबर Private_key = $dir/private/cakey.pem# निजी कुंजी
4. इसके बाद, स्व-हस्ताक्षरित रूट प्रमाणपत्र बनाएं:
ओपनएसएल अनुरोध -नया -x509 -एक्सटेंशन्स v3_ca -कीआउट cakey.pem -आउट cacert.pem -दिन 3650
फिर आपसे प्रमाणपत्र के बारे में विवरण दर्ज करने के लिए कहा जाएगा।
5. अब रूट सर्टिफिकेट और कुंजी इंस्टॉल करें:
sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/
6. अब आप प्रमाणपत्रों पर हस्ताक्षर करना शुरू करने के लिए तैयार हैं। आवश्यक पहली वस्तु एक प्रमाणपत्र हस्ताक्षर अनुरोध (सीएसआर) है, अनुभाग 5.2 देखें, "एक प्रमाणपत्र हस्ताक्षर अनुरोध (सीएसआर) उत्पन्न करना" [पी। 199] विवरण के लिए। एक बार जब आपके पास सीएसआर हो, तो सीए द्वारा हस्ताक्षरित प्रमाणपत्र तैयार करने के लिए निम्नलिखित दर्ज करें:
sudo Opensl ca -in server.csr -config /etc/ssl/openssl.cnf
सीए कुंजी के लिए पासवर्ड दर्ज करने के बाद, आपको प्रमाणपत्र पर हस्ताक्षर करने और फिर से नया प्रमाणपत्र देने के लिए कहा जाएगा। फिर आपको प्रमाणपत्र निर्माण से संबंधित कुछ बड़ी मात्रा में आउटपुट देखना चाहिए।
7. अब एक नई फ़ाइल होनी चाहिए, /etc/ssl/newcerts/01.pem, जिसमें समान आउटपुट है। पंक्ति से शुरू होने वाली हर चीज़ को कॉपी और पेस्ट करें: ----- BEGIN CERTIFICATE ----- और पंक्ति के माध्यम से जारी रखें: ----अंत प्रमाणपत्र----- सर्वर के होस्टनाम के नाम पर फ़ाइल की पंक्तियाँ जहाँ प्रमाणपत्र स्थापित किया जाएगा। उदाहरण के लिए mail.example.com.crt, एक अच्छा वर्णनात्मक नाम है.
बाद के प्रमाणपत्रों का नाम दिया जाएगा 02.पेम, 03.पेम, आदि
बदलें mail.example.com.crt अपने वर्णनात्मक नाम के साथ.
8. अंत में, नए प्रमाणपत्र को उस होस्ट पर कॉपी करें जिसे इसकी आवश्यकता है, और इसका उपयोग करने के लिए उपयुक्त एप्लिकेशन को कॉन्फ़िगर करें। प्रमाणपत्र स्थापित करने का डिफ़ॉल्ट स्थान है /आदि/एसएसएल/सर्ट. यह अनेक सेवाओं को अत्यधिक जटिल फ़ाइल अनुमतियों के बिना एक ही प्रमाणपत्र का उपयोग करने में सक्षम बनाता है।
उन अनुप्रयोगों के लिए जिन्हें CA प्रमाणपत्र का उपयोग करने के लिए कॉन्फ़िगर किया जा सकता है, आपको इसकी प्रतिलिपि भी बनानी चाहिए /etc/ssl/ certs/cacert.pem के लिए फ़ाइल /आदि/एसएसएल/प्रमाणपत्र/ प्रत्येक सर्वर पर निर्देशिका।