Documentazione<Precedenti | Contenuti | Succ.>
5.5. Autorità di certificazione
Se i servizi sulla tua rete richiedono più di alcuni certificati autofirmati, potrebbe valere la pena fare uno sforzo aggiuntivo per configurare il tuo Autorità di certificazione (CA). L'utilizzo di certificati firmati dalla propria CA consente ai vari servizi che utilizzano i certificati di fidarsi facilmente di altri servizi che utilizzano certificati emessi dalla stessa CA.
1. Innanzitutto, creare le directory per contenere il certificato CA e i relativi file:
sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts
2. La CA ha bisogno di alcuni file aggiuntivi per funzionare, uno per tenere traccia dell'ultimo numero di serie utilizzato dalla CA, ogni certificato deve avere un numero di serie univoco e un altro file per registrare quali certificati sono stati emessi:
sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt
3. Il terzo file è un file di configurazione della CA. Sebbene non sia strettamente necessario, è molto conveniente quando si rilasciano più certificati. Modificare /etc/ssl/openssl.cnf, E nel [CA_predefinito] cambiare:
dir = /etc/ssl # Dove viene conservato tutto database = $dir/CA/index.txt # file indice del database. certificate = $dir/certs/cacert.pem # Il certificato della CA
serial = $dir/CA/serial # Il numero seriale corrente private_key = $dir/private/cakey.pem# La chiave privata
4. Quindi, crea il certificato radice autofirmato:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
Ti verrà quindi chiesto di inserire i dettagli sul certificato.
5. Ora installa il certificato radice e la chiave:
sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/
6. Ora sei pronto per iniziare a firmare i certificati. Il primo elemento necessario è una richiesta di firma del certificato (CSR), vedere Sezione 5.2, «Generazione di una richiesta di firma del certificato (CSR)» [p. 199] per i dettagli. Una volta che hai una CSR, inserisci quanto segue per generare un certificato firmato dalla CA:
sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf
Dopo aver inserito la password per la chiave CA, ti verrà chiesto di firmare il certificato e di confermare il nuovo certificato. Dovresti quindi vedere una quantità piuttosto grande di output relativo alla creazione del certificato.
7. Ora dovrebbe esserci un nuovo file, /etc/ssl/newcerts/01.pem, contenente lo stesso output. Copia e incolla tutto ciò che inizia con la riga: ----- INIZIA ATTESTATO ----- e proseguendo sulla riga: ----FINE CERTIFICATO----- righe in un file che prende il nome dal nome host del server in cui verrà installato il certificato. Per esempio mail.esempio.com.crt, è un bel nome descrittivo.
I certificati successivi saranno nominati 02.pem, 03.pem, ecc.
sostituire mail.esempio.com.crt con il tuo nome descrittivo.
8. Infine, copia il nuovo certificato sull'host che ne ha bisogno e configura le applicazioni appropriate per usarlo. Il percorso predefinito per installare i certificati è /etc/ssl/certs. Ciò consente a più servizi di utilizzare lo stesso certificato senza autorizzazioni file eccessivamente complicate.
Per le applicazioni che possono essere configurate per utilizzare un certificato CA, è necessario copiare anche il file /etc/ssl/certs/cacert.pem file in /etc/ssl/certs/ directory su ogni server.