Jika anda menjalankan apa-apa jenis pelayan yang boleh diakses oleh orang ramai, anda tahu kepentingan pihak berkuasa sijil (CA). Sijil-sijil ini memberi pengguna anda sedikit insurans bahawa laman web anda sebenarnya adalah apa yang dikatakannya dan bukan versi palsu dari laman web anda yang menunggu untuk sama-sama merampas beberapa data atau menjatuhkan muatan kecil ke mesin pengguna yang tidak curiga.
Masalah dengan CA adalah bahawa mereka boleh sedikit mahal - terutama untuk pentadbir menjalankan perkhidmatan percuma, atau bahkan perniagaan kecil tanpa anggaran untuk membeli CA. Mujurlah anda tidak perlu mengeluarkan wang untuk CA, kerana anda boleh membuatnya secara percuma pada mesin Linux anda dengan aplikasi yang mudah digunakan yang disebut TinyCA.
ciri-ciri
- Buat sebanyak CA dan sub-CA yang anda perlukan.
- Penciptaan dan pembatalan sijil x509 S / MIME.
- Permintaan PKCS # 10 boleh diimport dan ditandatangani.
- Kedua-dua pelayan dan klien CA boleh dieksport dalam pelbagai format.
TinyCA berfungsi sebagai front-end mesra pengguna untuk opensl, jadi anda tidak perlu mengeluarkan semua arahan yang diperlukan untuk membuat dan mengurus CA anda.
Memasang TinyCA
Anda tidak akan menemui TinyCA dalam repositori pengedaran anda. Anda boleh menambah repositori yang diperlukan pada fail /etc/apt/sources.list anda atau anda boleh memasang salah satu daripada binari yang terdapat pada halaman utama. Mari kita gunakan Ubuntu dan Debian sebagai contoh untuk pemasangan.
Jika anda ingin memasang menggunakan apt-get, anda perlu terlebih dahulu menambah fail repositori ke fail sources.list anda. Oleh itu buka fail /etc/apt/sources.list dengan editor kegemaran anda dan tambahkan baris berikut:
deb //ftp.de.debian.org/debian sid main
NOTA: Gantikan "sid" dengan versi yang anda gunakan. Jika anda menggunakan Ubuntu 9.04 contoh di atas akan berfungsi.
Sekarang jalankan arahan ini:
kemas kini sudo apt-get
Anda akan melihat bahawa apt-get mengeluh tentang kekurangan kunci gpg. Tidak mengapa kerana kami akan memasang dengan menggunakan baris arahan. Sekarang keluarkan arahan:
sudo apt-get install tinyca
Ini harus memasang TinyCA tanpa sebarang aduan. Anda mungkin perlu okay pemasangan beberapa kebergantungan.
Menggunakan TinyCA
Untuk menjalankan tinyCA mengeluarkan perintah tinyca2 dan tetingkap utama akan dibuka. Selepas larian pertama anda, anda akan disambut dengan tetingkap Buat CA (lihat Rajah 1). Apabila anda sudah mempunyai CA tetingkap ini tidak akan dibuka secara automatik. Dalam tetingkap ini, anda akan mencipta CA baru.
Maklumat yang anda perlu masukkan mestilah jelas dan unik untuk keperluan anda. Selepas anda mengisi maklumat klik OK yang akan membuka tetingkap baru (lihat Rajah 2). Tetingkap baru ini akan mengandungi konfigurasi yang dihantar ke SSL semasa penciptaan sijil. Seperti tetingkap pertama, konfigurasi ini akan menjadi unik kepada keperluan anda.
Selepas anda mengisi maklumat ini, klik butang OK dan CA akan diwujudkan. Bergantung kepada kelajuan mesin anda, prosesnya mungkin mengambil sedikit masa. Kemungkinan besar proses itu akan selesai dalam 30-60 saat.
Menguruskan CA anda
Apabila CA anda selesai, anda akan dibawa kembali ke tetingkap pengurusan (lihat Rajah 3). Dalam tetingkap ini, anda boleh membuat SubCAs untuk CA utama anda, anda boleh mengimport CA, membuka CA, membuat CA baru, dan (yang paling penting) mengeksport CA. Anda tidak dapat melihat butang Eksport dalam Rajah 3, tetapi jika anda mengklik anak panah bawah pada bahagian atas kanan tetingkap anda akan melihat butang lain yang anda boleh mengklik untuk mengeksport CA.
Sudah tentu anda telah mencipta Sijil Akar. Sijil ini hanya akan digunakan untuk:
- buat sub-CA baru: s
- membatalkan sub-CA: s
- memperbaharui sub-CA: s
- eksport sijil root-CA: s
Untuk apa-apa selain di atas, anda ingin mencipta SubCA. Kami akan membincangkan mewujudkan SubCA yang sebenarnya boleh digunakan untuk laman web anda dalam artikel seterusnya.
Pemikiran terakhir
TinyCA mengambil banyak kerja daripada penciptaan dan pengurusan pihak berkuasa sijil. Bagi sesiapa yang menguruskan lebih daripada satu laman web atau pelayan, alat ini semestinya mesti ada.
