Wenn Sie einen Server ausführen, auf den die Öffentlichkeit zugreifen kann, wissen Sie, wie wichtig Zertifizierungsstellen sind. Diese Zertifikate geben Ihren Benutzern eine gewisse Sicherheit, dass Ihre Site tatsächlich das ist, was sie zu sein vorgibt, und keine gefälschte Version Ihrer Site, die darauf wartet, Daten abzuspeichern oder eine kleine Nutzlast auf den Computer eines ahnungslosen Benutzers abzulegen.
Das Problem bei Zertifizierungsstellen ist, dass sie etwas kostenintensiv sein können - insbesondere für Administratoren, die einen kostenlosen Dienst ausführen, oder sogar für kleine Unternehmen ohne das Budget für den Kauf von Zertifizierungsstellen. Glücklicherweise müssen Sie das Geld für Zertifizierungsstellen nicht bezahlen, da Sie sie mit einer benutzerfreundlichen Anwendung namens TinyCA kostenlos auf Ihrem Linux-Computer erstellen können.
Eigenschaften
- Erstellen Sie so viele Zertifizierungsstellen und Unterzertifizierungsstellen, wie Sie benötigen.
- Erstellung und Widerruf von x509 S / MIME-Zertifikaten.
- PKCS # 10-Anforderungen können importiert und signiert werden.
- Sowohl Server- als auch Client-CAs können in mehreren Formaten exportiert werden.
TinyCA fungiert als benutzerfreundliches Front-End für openssl, sodass Sie nicht alle erforderlichen Befehle zum Erstellen und Verwalten Ihrer Zertifizierungsstellen eingeben müssen.
TinyCA installieren
Sie werden TinyCA nicht in den Repositorys Ihrer Distribution finden. Sie können entweder das erforderliche Repository zu Ihrer Datei /etc/apt/sources.list hinzufügen oder eine der Binärdateien auf der Hauptseite installieren. Lassen Sie uns Ubuntu und Debian als Beispiel für die Installation verwenden.
Wenn Sie mit apt-get installieren möchten, müssen Sie zuerst die Repository-Datei zu Ihrer Datei sources.list hinzufügen. Öffnen Sie also die Datei /etc/apt/sources.list mit Ihrem bevorzugten Editor und fügen Sie die folgende Zeile hinzu:
deb //ftp.de.debian.org/debian sid main
HINWEIS: Ersetzen Sie "sid" durch die von Ihnen verwendete Version. Wenn Sie Ubuntu 9.04 verwenden, funktioniert das obige Beispiel.
Führen Sie nun den Befehl aus:
sudo apt-get update
Sie werden feststellen, dass sich apt-get über das Fehlen eines GPG-Schlüssels beschwert. Das ist okay, weil wir über die Befehlszeile installieren werden. Geben Sie nun den Befehl ein:
sudo apt-get install tinyca
Dies sollte TinyCA ohne Beanstandung installieren. Möglicherweise müssen Sie die Installation einiger Abhängigkeiten in Ordnung bringen.
TinyCA verwenden
Um TinyCA auszuführen, geben Sie den Befehl tinyca2 ein und das Hauptfenster wird geöffnet. Bei Ihrem ersten Lauf werden Sie vom Fenster Create CA (CA erstellen) begrüßt (siehe Abbildung 1). Wenn Sie bereits über Zertifizierungsstellen verfügen, wird dieses Fenster nicht automatisch geöffnet. In diesem Fenster legen Sie eine neue CA an.
Die Informationen, die Sie eingeben müssen, sollten ziemlich offensichtlich und auf Ihre Bedürfnisse zugeschnitten sein. Nachdem Sie die Informationen ausgefüllt haben, klicken Sie auf OK. Daraufhin wird ein neues Fenster geöffnet (siehe Abbildung 2). Dieses neue Fenster enthält Konfigurationen, die bei der Erstellung des Zertifikats an SSL übergeben werden. Wie das erste Fenster sind diese Konfigurationen auf Ihre Bedürfnisse zugeschnitten.
Nachdem Sie diese Informationen ausgefüllt haben, klicken Sie auf die Schaltfläche OK, und die Zertifizierungsstelle wird erstellt. Abhängig von der Geschwindigkeit Ihrer Maschine kann der Vorgang einige Zeit in Anspruch nehmen. Höchstwahrscheinlich ist der Vorgang innerhalb von 30-60 Sekunden abgeschlossen.
Verwalten Ihrer Zertifizierungsstellen
Wenn Ihre Zertifizierungsstelle vollständig ist, kehren Sie zum Verwaltungsfenster zurück (siehe Abbildung 3). In diesem Fenster können Sie Sub-CAs für Ihre Haupt-CA erstellen, CAs importieren, CAs öffnen, neue CAs erstellen und (am wichtigsten) CAs exportieren. Sie können die Schaltfläche "Exportieren" in Abbildung 3 nicht sehen. Wenn Sie jedoch auf den Abwärtspfeil oben rechts im Fenster klicken, wird eine weitere Schaltfläche angezeigt, auf die Sie klicken können, um eine Zertifizierungsstelle zu exportieren.
Natürlich haben Sie gerade ein Root-Zertifikat erstellt. Dieses Zertifikat wird nur verwendet für:
- Neue Sub-CA erstellen: s
- Sub-CA widerrufen: s
- Sub-CA erneuern: s
- Exportieren Sie das Zertifikat der Stammzertifizierungsstelle
Für alles andere als die oben genannten möchten Sie eine SubCA erstellen. Wir werden im nächsten Artikel die Erstellung einer SubCA besprechen, die tatsächlich für Ihre Website verwendet werden kann.
Abschließende Gedanken
TinyCA nimmt der Erstellung und Verwaltung von Zertifizierungsstellen viel Arbeit ab. Für alle, die mehr als eine Website oder einen Server verwalten, ist dieses Tool ein Muss.
