Documentație5.5. Autoritatea de Certificare
Dacă serviciile din rețeaua dvs. necesită mai mult de câteva certificate autosemnate, poate merita efortul suplimentar de a vă configura propriul dvs. Autoritatea de certificare (CA). Utilizarea certificatelor semnate de propria CA, permite diverselor servicii care utilizează certificatele să aibă încredere în alte servicii care utilizează certificate emise de aceeași CA.
1. Mai întâi, creați directoarele care să dețină certificatul CA și fișierele aferente:
sudo mkdir /etc/ssl/CA
sudo mkdir /etc/ssl/newcerts
2. CA are nevoie de câteva fișiere suplimentare pentru a funcționa, unul pentru a ține evidența ultimului număr de serie utilizat de CA, fiecare certificat trebuie să aibă un număr de serie unic și un alt fișier pentru a înregistra ce certificate au fost emise:
sudo sh -c "echo '01' > /etc/ssl/CA/serial" sudo touch /etc/ssl/CA/index.txt
3. Al treilea fișier este un fișier de configurare CA. Deși nu este strict necesar, este foarte convenabil atunci când se eliberează mai multe certificate. Editați | × /etc/ssl/openssl.cnf, și în [ CA_default ] Schimbare:
dir = /etc/ssl # Unde este păstrat totul baza de date = $dir/CA/index.txt # fișier index al bazei de date. certificate = $dir/certs/cacert.pem # Certificatul CA
serial = $dir/CA/serial # Numărul de serie curent cheie_privată = $dir/private/cakey.pem# Cheia privată
4. Apoi, creați certificatul rădăcină autosemnat:
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
Apoi vi se va cere să introduceți detaliile despre certificat.
5. Acum instalați certificatul rădăcină și cheia:
sudo mv cakey.pem /etc/ssl/private/ sudo mv cacert.pem /etc/ssl/certs/
6. Acum sunteți gata să începeți să semnați certificate. Primul element necesar este o Cerere de semnare a certificatului (CSR), vezi Secțiunea 5.2, „Generarea unei cereri de semnare a certificatului (CSR)” [p. 199] pentru detalii. Odată ce aveți un CSR, introduceți următoarele pentru a genera un certificat semnat de CA:
sudo openssl ca -in server.csr -config /etc/ssl/openssl.cnf
După ce ați introdus parola pentru cheia CA, vi se va solicita să semnați certificatul și din nou să trimiteți noul certificat. Ar trebui să vedeți apoi o cantitate oarecum mare de rezultate legate de crearea certificatului.
7. Ar trebui să existe acum un fișier nou, /etc/ssl/newcerts/01.pem, care conține aceeași ieșire. Copiați și lipiți tot ce începe cu linia: -----ÎNCEPE CERTIFICAT----- și continuând prin linia: ----CERTIFICAT FINAL----- linii către un fișier numit după numele de gazdă al serverului pe care va fi instalat certificatul. De exemplu mail.example.com.crt, este un nume descriptiv frumos.
Certificatele ulterioare vor fi numite 02.pem, 03.pem, Etc
Înlocui mail.example.com.crt cu propriul nume descriptiv.
8. În cele din urmă, copiați noul certificat pe gazda care are nevoie de el și configurați aplicațiile corespunzătoare pentru a-l folosi. Locația implicită pentru instalarea certificatelor este /etc/ssl/certs. Acest lucru permite mai multor servicii să utilizeze același certificat fără permisiuni de fișiere prea complicate.
Pentru aplicațiile care pot fi configurate să utilizeze un certificat CA, ar trebui să copiați și fișierul /etc/ssl/ certs/cacert.pem dosar la /etc/ssl/certs/ director pe fiecare server.