Introducció

A ca (AC) L’autoritat és una entitat responsable de l’emissió de certificats digitals per comprovar les identitats a Internet. Tot i que les opcions públiques i públiques són una opció popular per verificar la identitat dels llocs web i altres serveis que es proporcionen al públic en general, les CAS privades s’utilitzen generalment per a grups tancats i serveis privats.

La creació d’una certificació privada L’autoritat us permetrà configurar, provar i executar programes que necessitin connexions xifrades entre un client i un servidor. Amb un AC privat, podeu emetre certificats per a usuaris, servidors o programes i serveis individuals dins de la vostra infraestructura.

Alguns exemples de programes Linux que utilitzen el seu propi ACS privat són OpenVPN i titelles. També podeu configurar el vostre servidor web per utilitzar certificats emesos per un CA privat per fer coincidir els entorns de desenvolupament i simulació als servidors de producció que utilitzen TLS per xifrar les connexions.

En aquesta guia, aprendrem a establir Una autoritat de certificació privada en un servidor Debian 10 i com generar i signar un certificat de prova mitjançant el vostre nou AC. També aprendreu a importar el certificat de CA del CA Server a la botiga de certificats del vostre sistema operatiu perquè pugueu comprovar la cadena de confiança entre servidors AC i remots o usuaris. Finalment, aprendràs a revocar certificats i distribuirà una llista de revocació de certificats per garantir que només els usuaris i sistemes autoritzats puguin utilitzar els serveis que descansen a la vostra AC.

Prerequisits

a seguir Aquest tutorial, haureu de tenir accés a un servidor de Debian 10 per allotjar el vostre servei OpenVPN. Haureu de configurar un usuari no arrel amb sudo abans de començar aquesta guia. Podeu seguir la nostra Guia de configuració del servidor de Debian inicial 10 per configurar un usuari amb els permisos adequats. El tutorial conjunt també configurarà un tallafoc, que se suposa que es mantindrà al seu lloc.

Aquest servidor es denominarà servidor AC en aquest tutorial.

Assegureu-vos que l’AC El servidor és un sistema autònom. Només s’utilitzarà per importar, signar i revocar aplicacions de certificats. No hauria de gestionar altres serveis i, idealment, estarà fora de línia o completament tancada quan no treballeu activament amb el vostre AC.

Nota: l’última secció d’aquest tutorial és opcional si voleu saber-ne més sobre la signatura i la revocació de certificats. Si trieu seguir aquests passos de pràctica, necessitareu un segon servidor Debian 10 o també podeu utilitzar la vostra pròpia computadora Linux local que s’executa sota debian o ubuntu, o distribucions derivades d’un o l’altre.

Pas 1 – Instal·lació de Easy-RSA

La primera tasca d’aquest tutorial és instal·lar el conjunt d’escriptures easy-rsa al vostre servidor de CA. easy-rsa és una eina de gestió d’autoritats de certificació que utilitzarà per generar una clau privada i un certificat arrel públic, que llavors utilitzareu per signar sol·licituds i servidors del client que es basarà en el vostre AC .

Connecteu-vos al vostre servidor AC com a usuari de Sudo no root que heu creat durant els passos de configuració inicial i executeu el següent:

  • sudo apt update
  • sudo apt install easy-rsa

Se li demanarà que descarregueu el paquet i instal·leu-lo. Premeu y per confirmar que voleu instal·lar el paquet.

En aquest punt, teniu tot el que necessiteu, instal·leu i llest per utilitzar fàcilment. En el següent pas, crearàs una infraestructura pública de claus, llavors començarà a construir la seva autoritat de certificació.

Pas 2 – Preparació d’un directori d’infraestructures de clau pública

Ara que teniu Instal·lat easy-rsa, és hora de crear un esquelet de la infraestructura de clau pública (ICP) al servidor AC. Assegureu-vos que encara esteu connectats com a usuari no arrel i creeu un directori easy-rsa Assegureu-vos que no utilitzeu Sudo per executar una de les ordres següents, ja que el vostre usuari normal ha de gestionar i Interactua amb l’AC sense privilegis alts.

  • mkdir ~/easy-rsa

Això crearà un nou directori anomenat a la vostra carpeta de base .Utilitzarem aquest directori per crear enllaços simbòlics que apunten a les fitxers easy-rsa que hem instal·lat al pas anterior. Aquests fitxers es troben a la carpeta /usr/share/easy-rsa al servidor de CA.

Creeu els enllaços simbòlics (enllaços simbòlics) amb l’ordre

  • ln -s /usr/share/easy-rsa/* ~/easy-rsa/

Nota: mentre que altres guies poden demanar-vos copiar els fitxers de paquets easy-rsa a la vostra Directori ICP, aquest tutorial adopta un enfocament simbòlic d’enllaços. Per tant, qualsevol actualització del paquet easy-rsa reflexionarà automàticament en els scripts de la vostra ICP.

Per restringir l’accés al vostre nou directori. ICP, fer Segur que només el propietari pot accedir-hi utilitzant l’ordre chmod:

  • chmod 700 /home/sammy/easy-rsa

Finalment, inicialitzeu l’ICP a la easy-rsa:

  • cd ~/easy-rsa
  • ./easyrsa init-pki
Output
init-pki complete; you may now create a CA or requests.Your newly created PKI dir is: /home/sammy/easy-rsa/pki

Després de completar aquesta secció, Teniu un directori que conté tots els fitxers necessaris per crear una autoritat de certificació. A la següent secció, creareu la clau privada i el certificat públic per a la vostra AC.

Pas 3 – Creació d’una autoritat de certificació

Abans de poder crear la clau i el privat Certificat del vostre CA, heu de crear i envieu un fitxer anomenat vars amb alguns valors predeterminats. En primer lloc, aneu cd al directori a la directori

Amb nano o el vostre editor de text preferit:

  • cd ~/easy-rsa
  • nano vars

Un cop obert el fitxer, enganxeu-lo Després de les línies i modifiqueu cada valor ressaltat per reflectir la vostra pròpia informació de l’organització. L’important és tenir cura de no deixar cap dels valors de White:

~/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "US"set_var EASYRSA_REQ_PROVINCE "NewYork"set_var EASYRSA_REQ_CITY "New York City"set_var EASYRSA_REQ_ORG "DigitalOcean"set_var EASYRSA_REQ_EMAIL "[email protected]"set_var EASYRSA_REQ_OU "Community"set_var EASYRSA_ALGO "ec"set_var EASYRSA_DIGEST "sha512"

Quan hagueu acabat, deseu i tanqueu el fitxer. Si utilitzeu nano, podeu fer-ho prement CTRL+X, llavors Y i ENTER (entrada) per confirmar. Ja esteu preparats per construir el vostre AC.

Per crear el parell de claus públiques i privades per a la vostra autoritat de certificació, executeu l’ordre ./easy-rsade nou, , aquesta vegada amb build-ca:

  • ./easyrsa build-ca

En la sortida, veureu algunes línies a la versió d’OpenSSL i se us demanarà Per introduir una contrasenya per al vostre parell clau. Assegureu-vos de triar una frase sòlida i escriviu-la en un lloc segur. Haureu d’introduir la contrasenya cada vegada que haureu d’interactuar amb la vostra CA, per exemple, per signar o revocar un certificat.

També se us demanarà que confirmeu el nom comú (cn) del vostre AC . El nom comú és el nom que s’utilitza per designar aquesta màquina en el context de l’autoritat de certificació. Podeu introduir qualsevol cadena per al nom comú de la CA, però, pel bé de la senzillesa, premeu Intro per acceptar el nom per defecte.

Output
. . .Enter New CA Key Passphrase:Re-Enter New CA Key Passphrase:. . .Common Name (eg: your user, host, or server name) :CA creation complete and you may now import and sign cert requests.Your new CA certificate file for publishing is at:/home/sammy/easy-rsa/pki/ca.crt

Nota: si No voleu que es sol·liciti una contrasenya cada vegada que interactueu amb el vostre AC, podeu executar l’ordre build-ca amb nopass, així :

  • ./easyrsa build-ca nopass

Ara teniu dos fitxers importants – i ~/easy-rsa/pki/private/ca.key – que constitueixen els components públics i privats d’una autoritat de certificació.

  • ca.crt és el fitxer de certificat públic de la ca. Els usuaris, servidors i clients utilitzaran aquest certificat per verificar que formen part de la mateixa xarxa de confiança. Cada usuari i servidor que utilitza la vostra CA haurà de tenir una còpia d’aquest fitxer. Totes les parts es basaran en el certificat públic per garantir que una persona no vagi a un sistema i no realitzi un atac home-in-the-mig.

  • ca.key és la clau privada que utilitza CA per signar les claus i certificats de servidors i clients. Si un intrús accedeix a la vostra AC i, al seu torn, al vostre fitxer ca.key, haureu de destruir el vostre AC. Per això, el fitxer ca.key només ha de ser a la màquina de CA i la vostra màquina de CA ha de mantenir-se de forma ideal quan no signi sol·licituds de certificat, per mesurar la seguretat addicional.

Amb això, el vostre AC està al seu lloc i està preparat per ser utilitzat per signar sol·licituds de certificat i revocar certificats.

Pas 4 – Distribució El certificat públic de la vostra CA

El vostre AC ara està configurat i llest per actuar com a arrel de confiança per a tots els sistemes que vulgueu configurar per utilitzar-lo. Podeu afegir el certificat CA als vostres servidors OpenVPN, servidors web, servidors de correu electrònic, etc. Qualsevol usuari o servidor que ha de verificar la identitat d’un altre usuari o del servidor a la vostra xarxa ha de tenir una còpia del fitxer Importat a la botiga de certificats del seu sistema operatiu.

Per importar el certificat de CA des de la CA en un segon sistema Linux com un altre servidor o ordinador local, primer obteniu una còpia del fitxer el vostre servidor AC. Podeu utilitzar l’ordre per treure’l en un terminal, a continuació, copiar-lo i enganxar-lo en un fitxer a la segona computadora que importa el certificat. També podeu utilitzar eines com scp per transferir el fitxer entre els sistemes. No obstant això, utilitzarem una còpia-enganxa amb nano En aquest pas, ja que funciona en tots els sistemes.

Com a usuari no arrel al servidor de CA, executeu L’ordre següent:

  • cat ~/easy-rsa/pki/ca.crt

Hi haurà una sortida al vostre terminal que es veurà com el següent:

Output
-----BEGIN CERTIFICATE-----MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQELBQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw. . .. . .-----END CERTIFICATE-----

Copieu-ho tot, incloses les línies -----BEGIN CERTIFICATE----- i – -----END CERTIFICATE----- i els guions.

Al segon sistema Linux, utilitzeu nano o el vostre editor de text preferit per obrir un fitxer anomenat /tmp/ca.crt:

  • nano /tmp/ca.crt

Enganxeu el contingut que acabeu de copiar des del servidor AC a l’editor. Quan hàgiu acabat, deseu i tanqueu el fitxer. Si utilitzeu nano, podeu fer-ho prement CTRL+X, llavors Y i ENTER (entrada) per confirmar.

Ara que teniu una còpia del fitxer al vostre segon sistema Linux , és hora d’importar el certificat a la botiga certificadora del seu sistema operatiu.

En sistemes basats en Debian i Ubuntu, executeu les ordres següents per importar el certificat:

Debian i Distribucions derivades d’Ubuntu
  • cp /tmp/ca.crt /usr/local/share/ca-certificates/
  • update-ca-certificates

Per importar el certificat del servidor de CA en un sistema basat en centos, fedora o redhat, copieu i enganxeu el contingut del fitxer al sistema Com a l’exemple anterior en un fitxer anomenat /tmp/ca.crt. A continuació, copieu el certificat a /etc/pki/ca-trust/source/anchors/, llavors executareu l’ordre update-ca-trust.

centos, fedora, Redhat Distribucions
  • sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/
  • update-ca-trust

El vostre segon sistema Linux ara confiarà en qualsevol certificat que hagi estat signat pel servidor de CA.

Nota: si Utilitzeu el vostre CA amb servidors web i, si utilitzeu el navegador Firefox, haureu d’importar directament el Certificat ca.crt públic a Firefox. Firefox no utilitza la botiga de certificats de sistema operatiu local. Per obtenir més informació sobre com afegir el certificat de CA a Firefox, consulteu aquest article de Mozilla a la configuració de CA (AC) a Firefox.

Si utilitzeu el vostre AC per integrar un entorn de Windows o ordinadors d’escriptori , consulteu la documentació sobre com utilitzar certutil.exe per instal·lar un certificat de ca.

Si utilitzeu aquest tutorial com a requisit previ per a un altre tutorial, O si sabeu signar i revocar certificats, podeu aturar-vos aquí. Si voleu saber més sobre com signar i revocar certificats, la següent secció opcional explicarà cada procés en detall.

(opcional) – Creació de sol·licituds de signatura de certificats i revocació de certificats

Les següents seccions del tutorial són opcionals. Si heu realitzat tots els passos anteriors, teniu una autoritat de certificació totalment configurada i operativa que podeu utilitzar com a requisit previ per a altres tutories. Podeu importar el fitxer ca.crt des de la vostra ca i comproveu la vostra xarxa els certificats que han estat signats per la vostra ca.

Si voleu entrenar i aprendre més sobre com signar les sol·licituds de certificat i com revocar certificats, aquestes seccions opcionals explicaran com funcionen els dos processos.

(opcional) – Creació i signatura d’una sol·licitud de certificat de pràctica

Ara que teniu un AC a punt per utilitzar, podeu entrenar per generar una clau privada i una sol·licitud de certificat per familiaritzar-vos amb el procés de signatura i distribució.

Una aplicació de signatura de certificat (RSC) consta de tres parts: una clau pública, credencials al sistema que requereix, i una signatura de la sol·licitud mateixa, que es crea utilitzant la clau privada de la part sol·licitant. La clau privada es mantindrà secreta i s’utilitzarà per quantificar la informació que qualsevol persona amb el certificat públic signat pot desxifrar.

Els passos següents s’executaran al segon sistema de Debian Linux, Ubuntu o una distribució derivat d’un d’aquests sistemes. Pot ser un altre servidor remot o una màquina Linux local com un ordinador portàtil o ordinador d’escriptori. Com easy-rsa no està disponible per defecte en tots els sistemes, utilitzarem l’eina openssl per crear una clau privada i un certificat de pràctica.

s’instal·la normalment per defecte en la majoria de distribucions de Linux, però per estar segur, executeu el següent al vostre sistema

  • sudo apt update
  • sudo apt install openssl

Quan se us demani que instal·leu openssl, introduïu y per continuar els passos d’instal·lació. Ara esteu preparats per crear una pràctica de RSC amb .

El primer pas que heu de seguir per crear una RSC és la generació d’una clau privada. Per crear una clau privada utilitzant openssl, creeu un directori “” i després generarem aquesta consulta. Un servidor fictici anomenat sammy-server, a diferència de la creació d’un certificat que s’utilitza per identificar un usuari o un altre AC.

  • mkdir ~/practice-csr
  • cd ~/practice-csr
  • openssl genrsa -out sammy-server.key
Output
Generating RSA private key, 2048 bit long modulus (2 primes). . .. . .e is 65537 (0x010001)

Ara que teniu una clau privada, podeu crear una RSC corresponent, de nou mitjançant el . Vostè Serà convidat a omplir un nombre de camps com el país, l’estat i la ciutat. Podeu introduir un . si voleu deixar un camp buit, però tingueu en compte que si és real RSC, és millor utilitzar els valors correctes de la vostra ubicació i la vostra organització:

  • openssl req -new -key sammy-server.key -out sammy-server.req
Output
. . .-----Country Name (2 letter code) :USState or Province Name (full name) :New YorkLocality Name (eg, city) :New York CityOrganization Name (eg, company) :DigitalOceanOrganizational Unit Name (eg, section) :CommunityCommon Name (eg, your name or your server's hostname) :sammy-serverEmail Address :Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password :An optional company name :

Si voleu afegir Automati Aquests valors com a part del invocació en lloc de l’indicador interactiu, podeu aprovar l’argument -subj a OpenSSL. Assegureu-vos de canviar els valors ressaltats per fer coincidir el vostre lloc de pràctica, la vostra organització i en nom del vostre servidor:

  • openssl req -new -key sammy-server.key -out server.req -subj \
  • /C=US/ST=New\ York/L=New\ York\ City/O=DigitalOcean/OU=Community/CN=sammy-server

Per comprovar el contingut d’un RSC, podeu jugar en un fitxer de consulta amb openssl i examinar els camps a l’interior

  • openssl req -in sammy-server.req -noout -subject

Una vegada que estigui satisfet amb l’objecte de la sol·licitud de certificat, copieu el fitxer sammy-server.req al vostre servidor de CA utilitzant scp

Durant aquest pas, heu generat una sol·licitud de signatura de certificats per a un servidor fictici anomenat sammy-server. En un escenari real, la sol·licitud pot provenir d’un servidor web de desenvolupament o simulació que necessita un certificat TLS per a proves, o un servidor OpenVPN que requereix un certificat perquè els usuaris puguin connectar-se a un VPN. Durant el següent pas, es traslladarem a la signatura de la sol·licitud de signatura de certificats mitjançant la clau privada del servidor AC.

(opcional) – Signatura d’un CSR

en l’anterior Pas, heu creat una sol·licitud de certificat de pràctica i una clau per a un servidor fictici. Ho va copiar al directori /tmp Des del vostre servidor de CA, emulant el procés que utilitzeu si teniu clients reals o servidors que us enviïn les sol·licituds de RSC que s’han de signar.

Continuar l’escenari fictici, el servidor AC ara ha d’importar el certificat de pràctica i signar-lo.Una vegada que la sol·licitud de certificat sigui validada per la CA i la transmissió a un servidor, els clients que confien en l’autoritat de certificació també podran confiar en el certificat de nova emissió.

Com operarem. Dins de l’ICP de l’AC on la utilitat easy-rsa està disponible, els passos de signatura utilitzaran el easy-rsa Utilitat per facilitar les coses, en lloc d’utilitzar directament tal com vam fer a l’exemple anterior.

El primer pas per signar el CSR fictici és importar la sol·licitud de certificat mitjançant l’escriptura easy-rsa

  • cd ~/easy-rsa
  • ./easyrsa import-req /tmp/sammy-server.req sammy-server
Output
. . .The request has been successfully imported with a short name of: sammy-serverYou may now use this name to perform signing operations on this request.

Ara podeu signar la sol·licitud executant l’escriptura easyrsa Amb el sign-req seguit del tipus de consulta i el nom comú que s’inclou a la RSE. El tipus de consulta pot ser clientserver, o ca. A mesura que entrem amb un certificat per a un servidor fictici, assegureu-vos d’utilitzar el tipus de consulta de serveur:

  • ./easyrsa sign-req server sammy-server

A la sortida, se us demanarà que verifiqueu que la consulta prové d’una font fiable. Escriviu yes i premeu ENTER per confirmar:

Output
You are about to sign the following certificate.Please check over the details shown below for accuracy. Note that this requesthas not been cryptographically verified. Please be sure it came from a trustedsource or that you have verified the request checksum with the sender.Request subject, to be signed as a server certificate for 3650 days:subject= commonName = sammy-serverType the word 'yes' to continue, or any other input to abort. Confirm request details: yes. . .Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt

si Heu xifrat la vostra clau de CA, se us demanarà la vostra contrasenya en aquest moment.

Un cop finalitzats aquests passos, heu signat la RSC sammy-server.req La clau privada del servidor AC a . El fitxer de ” conté la clau de xifratge pública del servidor de pràctiques, així com una nova signatura del servidor AC. El propòsit de la signatura és dir a qualsevol que confiï a la CA que també pugui confiar en el certificat de servidor de pràctiques sammy-server

Si aquesta consulta es relaciona amb un servidor real Igual que un servidor web o un servidor VPN, l’últim pas del servidor AC seria distribuir els nous fitxers sammy-server.crt i ca.crt Servidor AC al servidor remot que va fer la consulta de RSC:

En aquest punt, haureu de poder utilitzar el certificat emès amb alguna cosa com una web Servidor, un VPN, una eina de gestió de configuració, un sistema de bases de dades o per a finalitats d’autenticació del client.

(opcional) – Revocació d’un certificat

És possible que hagi de revocar un certificat a evitar que un usuari o un servidor l’utilitzi. S’ha robat l’ordinador portàtil d’algú, un servidor web ha estat compromès o un empleat o contractista va deixar la vostra organització.

Per revocar un certificat, el procediment general segueix els passos següents:

  1. Revoca el certificat amb l’ordre ./easyrsa revoke client_name
  2. Generar un nou LRC amb l’ordre ./easyrsa gen-crl
  3. Transferiu el fitxer crl.pem Actualitzat al servidor o als servidors que depenen de la vostra AC, i en aquests sistemes, copieu el fitxer als directori (s) necessaris per als programes que Consulteu-ho.
  4. Reinicieu tots els serveis que utilitzen el vostre fitxer CA i el LRC.

Podeu utilitzar aquest procés per revocar en qualsevol moment els certificats que heu emès anteriorment . Entrarem en detall cada pas en les següents seccions, començant per l’ordre revoke

Revocar un certificat

Per revocar un certificat, Navegueu fins a la easy-rsa Directori al vostre servidor AC:

  • cd ~/easy-rsa

Següent, inicieu l’escriptura easyrsa Amb l’opció revoke, seguit del nom del client que voleu revocar: seguint l’exemple de la pràctica anterior, el nom comú del certificat és sammy-server:

  • ./easyrsa revoke sammy-server

Se us demanarà que confirmeu la revocació introduint yes :

Output
Please confirm you wish to revoke the certificate with the following subject:subject= commonName = sammy-serverType the word 'yes' to continue, or any other input to abort. Continue with revocation: yes. . .Revoking Certificate 8348B3F146A765581946040D5C4D590A. . .

Tingueu en compte el valor ressaltat a la línia Revoking Certificate Aquest valor és el número de sèrie únic del certificat que s’està renovat. Si voleu revisar la llista de revocació a l’últim pas d’aquesta secció per verificar que el certificat hi és, necessitareu aquest valor.

Després de confirmar l’acció, l’AC revocarà el certificat. No obstant això, els sistemes remots que depenen de la CA no tenen cap manera de verificar si s’han revocat els certificats.Els usuaris i servidors sempre podran utilitzar el certificat fins que la llista de CA certificats revocats (LCR) es distribueixi a tots els sistemes que depenen de AC.

En el següent pas, generareu una LCR o actualització Un fitxer crl.pem.

Generar una llista de revocació de certificats

Ara si heu revocat un certificat, és important actualitzar la llista de certificats revocats al vostre servidor AC. Un cop hagueu actualitzat la llista de revocació, podreu saber quins usuaris i quins sistemes tenen certificats vàlids a la vostra AC.

Per generar un LRC, executeu l’ordre Amb l’opció gen-crl mentre es queda al directori ~/easy-rsa:

  • ./easyrsa gen-crl

Si heu utilitzat una contrasenya quan creeu el fitxer ca.key, se us demanarà que l’introduïu. L’ordre gen-crl generarà un fitxer anomenat crl.pem, que conté la llista actualitzada de certificats revocats per a aquest AC.

A continuació, haureu de transferir el fitxer crl.pem Arxiu actualitzat a tots els servidors i clients que depenen d’aquest AC cada vegada que executeu l’ordre gen-crl. En cas contrari, els clients i els sistemes sempre podran accedir als serveis i sistemes que utilitzen la vostra CA, ja que aquests serveis han de conèixer l’estat de revocació del certificat.

Transferència d’una llista de revocació de certificat

ara Que hàgiu generat una LCR al servidor del vostre AC, heu de transferir-lo als sistemes remots que depenen de la vostra AC. Per transferir aquest fitxer als vostres servidors, podeu utilitzar l’ordre scp.

Nota: aquest tutorial explica com generar i distribuir una LCR. Tot i que hi ha mètodes més forts i automatitzats per distribuir i comprovar les llistes de revocació, com ara la grapa OCSP, la configuració d’aquests mètodes supera aquest element.

Assegureu-vos que esteu connectat al vostre servidor AC com a Usuari no arrel i realitzeu les operacions següents, substituint el nom IP o DNS del vostre propi servidor en lloc de :

Ara que el fitxer es troba al sistema remot, l’últim pas és actualitzar tots els serveis amb la nova còpia de la llista de revocació.

Actualització de serveis que admeten un LCR

L’enumeració dels passos per actualitzar els serveis que utilitzen el fitxer crl.pem supera l’abast d’aquest tutorial. En general, haureu de copiar el fitxer crl.pem a la ubicació proporcionada pel servei i, a continuació, reinicieu-lo mitjançant systemctl.

Un cop hagueu actualitzat els vostres serveis amb el nou fitxer crl.pem, els vostres serveis podran rebutjar connexions o servidors de clients que utilitzin un certificat revocat.

Revisió i verificació del contingut d’un LCR

Si voleu examinar un fitxer CRL, per exemple, per confirmar una llista de certificats revocats, utilitzeu el Següent del vostreeasy-rsadirectori al vostre servidor de CA:

  • cd ~/easy-rsa
  • openssl crl -in pki/crl.pem -noout -text

També podeu executar aquesta ordre a qualsevol Servidor o sistema que té l’eina openssl instal·lat amb una còpia del fitxer crl.pem fitxer. Per exemple, si heu transferit el fitxer crl.pem al vostre segon sistema i voleu verificar que el certificat de sammy-server és revocat, podeu revocar-lo Utilitzeu un Ordre com a següent, introduint el número de sèrie que heu assenyalat anteriorment quan heu revocat el certificat en lloc del número ressaltat aquí:

  • openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A
Output
Serial Number: 8348B3F146A765581946040D5C4D590A Revocation Date: Apr 1 20:48:02 2020 GMT

Observeu com s’utilitza l’ordre

per comprovar el número de sèrie únic que heu notat al Pas de revocació. Ara podeu comprovar els continguts de la vostra llista de revocació de certificats en qualsevol sistema que es basi en ella per restringir l’accés als usuaris i serveis.

Conclusió

En aquest tutorial, heu creat un producte privat Autoritat de certificació mitjançant el paquet Easy-RSA en un servidor de Debian independent. Heu après com funciona el model de confiança entre les parts que es basen en l’autoritat de certificació.També heu creat i signat una aplicació de signatura de certificats (RSC) per a un servidor de pràctiques i després heu après a revocar un certificat. Finalment, heu après a generar i distribuir una llista de revocació de certificats (RCP) per a qualsevol sistema que depèn de la vostra CA per garantir que els usuaris o servidors que no haurien d’accedir als serveis s’eviten.

Ara podeu Entregueu certificats per a usuaris i utilitzeu-los amb serveis com OpenVPN. També podeu utilitzar el vostre CA per configurar els servidors web de desenvolupament i simulació amb certificats per garantir els vostres entorns no productius. L’ús d’un AC amb certificats TLS durant el desenvolupament pot ajudar-vos a garantir que el vostre codi i entorns tinguin el màxim possible per al vostre entorn de producció.

Si voleu saber més sobre l’ús d’Openssl, visiteu la nostra pàgina de principis essencials de OpenSSL : Treballar amb certificats SSL, claus privades i CSRS conté molta informació addicional per ajudar-vos a familiaritzar-vos amb els principis fonamentals de l’OpenSSL. P.>

Leave a comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *