Documentatie5.5. Certificeringsautoriteit
Als de services op uw netwerk meer dan een paar zelfondertekende certificaten vereisen, kan het de extra moeite waard zijn om uw eigen interne Certificeringsautoriteit (CA). Door certificaten te gebruiken die door uw eigen CA zijn ondertekend, kunnen de verschillende services die de certificaten gebruiken, gemakkelijk andere services vertrouwen die certificaten gebruiken die zijn uitgegeven door dezelfde CA.
1. Maak eerst de mappen voor het CA-certificaat en gerelateerde bestanden:
sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts
2. De CA heeft een aantal extra bestanden nodig om te kunnen functioneren: één om het laatste door de CA gebruikte serienummer bij te houden, elk certificaat moet een uniek serienummer hebben, en een ander bestand om vast te leggen welke certificaten zijn uitgegeven:
sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt
3. Het derde bestand is een CA-configuratiebestand. Hoewel niet strikt noodzakelijk, is het wel erg handig bij het uitgeven van meerdere certificaten. Bewerking /etc/ssl/openssl.cnf, en in de [ CA_standaard ] verandering:
dir = /etc/ssl # Waar alles wordt bewaard database = $dir/CA/index.txt # database-indexbestand. certificaat = $dir/certs/cacert.pem # Het CA-certificaat
serial = $dir/CA/serial # Het huidige serienummer private_key = $dir/private/cakey.pem# De private sleutel
4. Maak vervolgens het zelfondertekende basiscertificaat:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -dagen 3650
Vervolgens wordt u gevraagd de gegevens over het certificaat in te vullen.
5. Installeer nu het rootcertificaat en de sleutel:
sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/
6. U bent nu klaar om certificaten te ondertekenen. Het eerste benodigde item is een Certificate Signing Request (CSR), zie Paragraaf 5.2, “Een Certificate Signing Request (CSR) genereren” [p. 199] voor details. Zodra u een CSR heeft, voert u het volgende in om een door de CA ondertekend certificaat te genereren:
sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf
Nadat u het wachtwoord voor de CA-sleutel hebt ingevoerd, wordt u gevraagd het certificaat te ondertekenen en opnieuw het nieuwe certificaat vast te leggen. U zou dan een enigszins grote hoeveelheid uitvoer moeten zien die verband houdt met het maken van het certificaat.
7. Er zou nu een nieuw bestand moeten zijn, /etc/ssl/newcerts/01.pem, met dezelfde uitvoer. Kopieer en plak alles dat begint met de regel: -----BEGIN CERTIFICAAT----- en verder via de lijn: ----EINDCERTIFICAAT----- regels naar een bestand met de naam van de hostnaam van de server waarop het certificaat wordt geïnstalleerd. Bijvoorbeeld mail.voorbeeld.com.crt, is een mooie beschrijvende naam.
Volgende certificaten zullen worden genoemd 02.pem, 03.pem, Etc.
vervangen mail.voorbeeld.com.crt met uw eigen beschrijvende naam.
8. Kopieer ten slotte het nieuwe certificaat naar de host die het nodig heeft, en configureer de juiste toepassingen om het te gebruiken. De standaardlocatie om certificaten te installeren is /etc/ssl/certificaten. Hierdoor kunnen meerdere services hetzelfde certificaat gebruiken zonder al te ingewikkelde bestandsrechten.
Voor toepassingen die kunnen worden geconfigureerd om een CA-certificaat te gebruiken, moet u ook het /etc/ssl/certs/cacert.pem bestand naar de /etc/ssl/certs/ map op elke server.