Dokumenty<Poprzedni | Spis treści | Następne>
5.5. Urząd certyfikacji
Jeśli usługi w Twojej sieci wymagają więcej niż kilku samopodpisanych certyfikatów, może być warte dodatkowego wysiłku, aby skonfigurować własne wewnętrzne Urząd certyfikacji (CA). Korzystanie z certyfikatów podpisanych przez własny urząd certyfikacji umożliwia różnym usługom korzystającym z certyfikatów łatwe ufanie innym usługom przy użyciu certyfikatów wydanych z tego samego urzędu certyfikacji.
1. Najpierw utwórz katalogi do przechowywania certyfikatu CA i powiązanych plików:
sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts
2. CA potrzebuje do działania kilku dodatkowych plików, jeden do śledzenia ostatniego numeru seryjnego używanego przez CA, każdy certyfikat musi mieć unikalny numer seryjny, a drugi plik do rejestrowania, które certyfikaty zostały wydane:
sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt
3. Trzeci plik to plik konfiguracyjny CA. Chociaż nie jest to bezwzględnie konieczne, jest bardzo wygodne przy wydawaniu wielu certyfikatów. Edytować /etc/ssl/openssl.cnf, oraz w [ CA_domyślnie ] zmiana:
dir = /etc/ssl # Gdzie wszystko jest przechowywane database = $dir/CA/index.txt # plik indeksu bazy danych. certyfikat = $dir/certs/cacert.pem # Certyfikat CA
serial = $dir/CA/serial # Aktualny numer seryjny private_key = $dir/private/cakey.pem# Klucz prywatny
4. Następnie utwórz certyfikat główny z podpisem własnym:
openssl req -nowy -x509 -rozszerzenia v3_ca -keyout cakey.pem -out cacert.pem -days 3650
Następnie zostaniesz poproszony o podanie szczegółów dotyczących certyfikatu.
5. Teraz zainstaluj certyfikat główny i klucz:
sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/
6. Jesteś teraz gotowy do rozpoczęcia podpisywania certyfikatów. Pierwszym potrzebnym elementem jest żądanie podpisania certyfikatu (CSR), patrz Sekcja 5.2, „Generowanie żądania podpisania certyfikatu (CSR)” [s. 199], aby uzyskać szczegółowe informacje. Po uzyskaniu CSR wprowadź następujące informacje, aby wygenerować certyfikat podpisany przez CA:
sudo openssl ca -in serwer.csr -config /etc/ssl/openssl.cnf
Po wprowadzeniu hasła do klucza CA zostaniesz poproszony o podpisanie certyfikatu i ponowne zatwierdzenie nowego certyfikatu. Powinieneś wtedy zobaczyć dość dużą ilość danych wyjściowych związanych z tworzeniem certyfikatu.
7. Powinien być teraz nowy plik, /etc/ssl/nowecertyfikaty/01.pem, zawierający te same dane wyjściowe. Skopiuj i wklej wszystko zaczynając od linii: -----POCZĄTEK CERTYFIKATU----- i kontynuując linię: ----KONIEC CERTYFIKAT----- wierszy do pliku o nazwie odpowiadającej nazwie hosta serwera, na którym zostanie zainstalowany certyfikat. Na przykład poczta.przyklad.com.crt, to ładna opisowa nazwa.
Kolejne certyfikaty zostaną nazwane 02. pon, 03. pon, itp.
zastąpić poczta.przyklad.com.crt z własnym opisowym imieniem.
8. Na koniec skopiuj nowy certyfikat na hosta, który go potrzebuje, i skonfiguruj odpowiednie aplikacje, aby z niego korzystały. Domyślna lokalizacja do instalacji certyfikatów to /etc/ssl/certyfikaty. Dzięki temu wiele usług może używać tego samego certyfikatu bez nadmiernie skomplikowanych uprawnień do plików.
W przypadku aplikacji, które można skonfigurować do korzystania z certyfikatu CA, należy również skopiować /etc/ssl/certs/cacert.pem plik do /etc/ssl/certyfikaty/ katalog na każdym serwerze.