Dokumentasi<Sebelumnya | Konten | Selanjutnya>
5.5. Otoritas Sertifikasi
Jika layanan di jaringan Anda memerlukan lebih dari beberapa sertifikat yang ditandatangani sendiri, mungkin perlu upaya tambahan untuk menyiapkan internal Anda sendiri. Otoritas Sertifikasi (CA). Menggunakan sertifikat yang ditandatangani oleh CA Anda sendiri, memungkinkan berbagai layanan yang menggunakan sertifikat untuk dengan mudah memercayai layanan lain menggunakan sertifikat yang dikeluarkan dari CA yang sama.
1. Pertama, buat direktori untuk menyimpan sertifikat CA dan file terkait:
sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts
2. CA memerlukan beberapa file tambahan untuk beroperasi, satu untuk melacak nomor seri terakhir yang digunakan oleh CA, setiap sertifikat harus memiliki nomor seri yang unik, dan file lain untuk mencatat sertifikat mana yang telah diterbitkan:
sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt
3. File ketiga adalah file konfigurasi CA. Meskipun tidak sepenuhnya diperlukan, sangat nyaman saat mengeluarkan banyak sertifikat. Sunting /etc/ssl/openssl.cnf, dan di [CA_default] perubahan:
dir = /etc/ssl # Di mana semuanya disimpan database = $dir/CA/index.txt # file indeks database. sertifikat = $dir/certs/cacert.pem # Sertifikat CA
serial = $dir/CA/serial # Nomor seri saat ini private_key = $dir/private/cakey.pem# Kunci pribadi
4. Selanjutnya, buat sertifikat root yang ditandatangani sendiri:
openssl req -baru -x509 -ekstensi v3_ca -keyout cakey.pem -keluar cacert.pem -hari 3650
Anda kemudian akan diminta untuk memasukkan rincian tentang sertifikat.
5. Sekarang instal sertifikat dan kunci root:
sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/
6. Anda sekarang siap untuk mulai menandatangani sertifikat. Item pertama yang dibutuhkan adalah Permintaan Penandatanganan Sertifikat (CSR), lihat Bagian 5.2, “Membuat Permintaan Penandatanganan Sertifikat (CSR)” [hal. 199] untuk rinciannya. Setelah Anda memiliki CSR, masukkan berikut ini untuk menghasilkan sertifikat yang ditandatangani oleh CA:
sudo openssl ca -di server.csr -config /etc/ssl/openssl.cnf
Setelah memasukkan kata sandi untuk kunci CA, Anda akan diminta untuk menandatangani sertifikat, dan sekali lagi untuk mengkomit sertifikat baru. Anda kemudian akan melihat sejumlah besar keluaran terkait dengan pembuatan sertifikat.
7. Seharusnya sekarang ada file baru, /etc/ssl/newcerts/01.pem, berisi keluaran yang sama. Salin dan tempel semua yang dimulai dengan baris: -----MULAI SERTIFIKAT----- dan melanjutkan melalui baris: ---- AKHIR SERTIFIKAT----- baris ke file yang dinamai nama host server tempat sertifikat akan diinstal. Sebagai contoh mail.example.com.crt, adalah nama deskriptif yang bagus.
Sertifikat berikutnya akan diberi nama 02.pem, 03.pem, Dll
menggantikan mail.example.com.crt dengan nama deskriptif Anda sendiri.
8. Terakhir, salin sertifikat baru ke host yang membutuhkannya, dan konfigurasikan aplikasi yang sesuai untuk menggunakannya. Lokasi default untuk menginstal sertifikat adalah /etc/ssl/certs. Ini memungkinkan beberapa layanan menggunakan sertifikat yang sama tanpa izin file yang terlalu rumit.
Untuk aplikasi yang dapat dikonfigurasi untuk menggunakan sertifikat CA, Anda juga harus menyalin /etc/ssl/certs/cacert.pem file ke /etc/ssl/sertifikat/ direktori pada setiap server.