Se si esegue qualsiasi tipo di server accessibile al pubblico, si conosce l'importanza delle autorità di certificazione (CA). Questi certificati offrono ai tuoi utenti un po 'di assicurazione che il tuo sito è in realtà quello che afferma di essere e non una versione falsificata del tuo sito in attesa di catturare alcuni dati o rilasciare un piccolo payload su una macchina ignara degli utenti.
Il problema con le CA è che possono essere un po 'costose, specialmente per l'amministratore che esegue un servizio gratuito o anche una piccola impresa senza il budget per l'acquisto delle CA. Fortunatamente non è necessario sborsare i soldi per le CA, perché è possibile crearli gratuitamente sul proprio computer Linux con un'applicazione facile da usare chiamata TinyCA.
Caratteristiche
- Crea tutte le CA e le CA secondarie di cui hai bisogno.
- Creazione e revoca di certificati S / MIME x509.
- Le richieste PKCS # 10 possono essere importate e firmate.
- Le CA dei server e dei client possono essere esportate in più formati.
TinyCA funziona come front-end intuitivo per openssl, quindi non è necessario emettere tutti i comandi necessari per creare e gestire le CA.
Installazione di TinyCA
Non troverai TinyCA nei repository della tua distribuzione. Puoi aggiungere il repository necessario al tuo file /etc/apt/sources.list oppure puoi installare uno dei binari trovati nella pagina principale. Usiamo Ubuntu e Debian come esempio per l'installazione.
Se vuoi installare usando apt-get dovrai prima aggiungere il file repository al tuo file sources.list. Quindi apri il file /etc/apt/sources.list con il tuo editor preferito e aggiungi la seguente riga:
deb //ftp.de.debian.org/debian sid main
NOTA: sostituire "sid" con la versione che si sta utilizzando. Se stai usando Ubuntu 9.04, l'esempio sopra funzionerà.
Ora esegui il comando:
sudo apt-get update
Noterai che apt-get si lamenta della mancanza di una chiave gpg. Va bene perché installeremo usando la riga di comando. Ora emetti il comando:
sudo apt-get install tinyca
Questo dovrebbe installare TinyCA senza lamentele. Potrebbe essere necessario eseguire l'installazione di alcune dipendenze.
Utilizzando TinyCA
Per eseguire TinyCA, emetti il comando tinyca2 e si aprirà la finestra principale. Al primo avvio verrai accolto dalla finestra Crea CA (vedi Figura 1). Se si dispone già di CA, questa finestra non si aprirà automaticamente. In questa finestra creerai una nuova CA.
Le informazioni che devi inserire dovrebbero essere abbastanza evidenti oltre che uniche per le tue esigenze. Dopo aver compilato le informazioni, fare clic su OK per aprire una nuova finestra (vedere la Figura 2). Questa nuova finestra conterrà le configurazioni passate su SSL durante la creazione del certificato. Come la prima finestra, queste configurazioni saranno uniche per le tue esigenze.
Dopo aver inserito queste informazioni, fai clic sul pulsante OK e verrà creata la CA. A seconda della velocità della macchina, il processo potrebbe richiedere un po 'di tempo. Molto probabilmente il processo sarà completato entro 30-60 secondi.
Gestire le CA
Al termine della CA, si tornerà alla finestra di gestione (vedere la Figura 3). In questa finestra è possibile creare subCA per la propria CA principale, è possibile importare CA, aprire CA, creare nuove CA e (soprattutto) esportare CA. Non puoi vedere il pulsante Esporta in Figura 3, ma se dovessi fare clic sulla freccia in giù nella parte in alto a destra della finestra vedresti un altro pulsante che puoi fare clic per esportare una CA.
Naturalmente hai appena creato un certificato radice. Questo certificato verrà utilizzato solo per:
- creare una nuova CA secondaria: s
- revoca sub-CA: s
- rinnovare sub-CA: s
- esportare il certificato root-CA: s
Per qualsiasi cosa diversa da quella sopra si vorrebbe creare un SubCA. Discuteremo della creazione di un SubCA che può essere effettivamente utilizzato per il tuo sito Web nel prossimo articolo.
Pensieri finali
TinyCA richiede molto lavoro per la creazione e la gestione delle autorità di certificazione. Per chiunque gestisca più di un sito Web o server, questo strumento è sicuramente un must.
