Introdución

A AUTORIÓN CA (AC) é unha entidade responsable da emisión de certificados dixitais para comprobar as identidades en internet. Aínda que as opcións públicas e públicas son unha opción popular para verificar a identidade de sitios web e outros servizos que se proporcionan ao público en xeral, o CAS privado xeralmente úsase para grupos pechados e servizos privados.

a creación dunha certificación privada A autoridade permitirá configurar, probar e executar programas que requiren conexións cifradas entre un cliente e un servidor. Cunha AC privada, pode emitir certificados para usuarios, servidores ou programas e servizos individuais dentro da súa infraestrutura.

Algúns exemplos de programas de Linux que utilizan os seus propios AC privados son OpenVPN e títere. Tamén pode configurar o seu servidor web para usar certificados emitidos por un AC privado para combinar os contornas de desenvolvemento e simulación aos servidores de produción que utilizan TLS para cifrar as conexións.

Nesta guía, imos aprender a configurar Autoridade de certificación privada nun servidor de Debian 10 e como xerar e asinar un certificado de proba usando a súa nova AC. Tamén aprenderá a importar o certificado da AC desde o servidor CA na tenda de certificados do seu sistema operativo para que poida comprobar a cadea de confianza entre servidores AC e remotos ou usuarios. Finalmente, aprenderás a revocar os certificados e distribuír unha lista de revogación de certificados para asegurar que só os usuarios e sistemas autorizados poidan usar os servizos que descansan no teu AC.

Prerrequisitos

a seguir Este tutorial, terá que ter acceso a un servidor de Debian 10 para albergar o servizo OpenVPN. Deberá configurar un usuario non root con sudo antes de iniciar esta guía. Podes seguir a nosa Guía de configuración do servidor de Debian 10 para configurar a un usuario cos permisos axeitados. O tutorial conxunto tamén configurará un firewall, suponse que permanecerá no lugar ao longo desta guía.

Este servidor chamarase ao servidor AC neste tutorial.

Asegúrese de que a AC O servidor é un sistema autónomo. Só se empregará para importar, asinar e revocar as aplicacións de certificados. Non debe manexar outros servizos e, idealmente, estará fóra de liña ou completamente pechado cando non traballa activamente coa súa AC.

Nota: a última sección deste tutorial é opcional se desexa saber máis sobre a sinatura ea revogación de certificados. Se escolle seguir estes pasos de práctica, necesitará un segundo servidor de Debian 10 ou tamén pode usar a súa propia computadora local de Linux que se executa en Debian ou Ubuntu ou distribucións derivadas dun ou outro.

Paso 1 – Instalar Easy-RSA

A primeira tarefa deste tutorial é instalar o conxunto de scripts easy-rsa no servidor AC. easy-rsa é unha ferramenta de xestión de autoridade de certificación que usará para xerar unha chave privada e un certificado de raíz pública que, a continuación, usará para asinar solicitudes de clientes e servidores que construirán na súa AC .

Conéctate ao servidor AC como usuario de sudo non raíz que creaches durante os pasos de configuración inicial e executa o seguinte:

  • sudo apt update
  • sudo apt install easy-rsa

Pediráselle que descargue o paquete e instálalo. Prema y para confirmar que quere instalar o paquete.

Neste punto, ten todo o que precisa, instalado e listo para usar fácilmente -Rarrars. No seguinte paso, crearás unha infraestrutura de clave pública, entón comezarás a construír a túa autoridade de certificación.

Paso 2 – Preparación dun directorio de infraestrutura clave pública

Agora que tes Instalado easy-rsa, é hora de crear un esqueleto da infraestrutura clave pública (ICP) no servidor AC. Asegúrese de que aínda está conectado como usuario non root e crear un directorioeasy-rsa Asegúrese de que non use sudo para executar un dos seguintes comandos, xa que o seu usuario normal debe manipular e Interactuar coa AC sen privilexios altos.

  • mkdir ~/easy-rsa

Isto creará un novo directorio chamado easy-rsa no seu cartafol base ..Usaremos este directorio para crear ligazóns simbólicas que apuntan ao easy-rsa de paquetes que instalamos no paso anterior. Estes ficheiros están situados no cartafol/usr/share/easy-rsa no servidor AC.

Crea as ligazóns simbólicas (simbóllenas) co comando :

  • ln -s /usr/share/easy-rsa/* ~/easy-rsa/

Nota: mentres que outras guías poden pedirlle copiar os ficheiros do paquete easy-rsa no seu Directorio ICP, este tutorial adopta un enfoque de ligazón simbólica. Polo tanto, calquera actualización do paquete easy-rsa reflectirá automaticamente nos scripts do seu ICP.

para restrinxir o acceso ao seu novo directorio. ICP, facer seguro de que só o propietario pode acceder a ela usando o comando chmod:

  • chmod 700 /home/sammy/easy-rsa

Finalmente, inicializar o ICP no :

  • cd ~/easy-rsa
  • ./easyrsa init-pki
Output
init-pki complete; you may now create a CA or requests.Your newly created PKI dir is: /home/sammy/easy-rsa/pki

Despois de completar esta sección, Ten un directorio que contén todos os ficheiros necesarios para crear unha autoridade de certificación. Na seguinte sección, crearás a clave privada e o certificado público para a túa AC.

Paso 3 – Creación dunha autoridade de certificación

Antes de poder crear a chave e a privada Certificado da túa AC, debes crear e alimentar un ficheiro chamado vars con algúns valores por defecto. Primeiro de todo, vai cd no directorio easy-rsa, entón vai crear e modificar o ficheiro vars con nano ou o seu editor de texto favorito:

  • cd ~/easy-rsa
  • nano vars

Unha vez que o ficheiro está aberto, pegue o As seguintes liñas e modifican cada valor destacado para reflectir a súa propia información de organización. O importante aquí é ter coidado de non deixar ningún dos valores en branco:

~/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "US"set_var EASYRSA_REQ_PROVINCE "NewYork"set_var EASYRSA_REQ_CITY "New York City"set_var EASYRSA_REQ_ORG "DigitalOcean"set_var EASYRSA_REQ_EMAIL "[email protected]"set_var EASYRSA_REQ_OU "Community"set_var EASYRSA_ALGO "ec"set_var EASYRSA_DIGEST "sha512"

Cando remate, garda e pecha o ficheiro. Se usa nano, pode facelo premendo CTRL+X, entón Y e ENTER (entrada) para confirmar. Agora estás preparado para crear a túa AC.

Para crear o par de clave de raíz pública e privada para a túa autoridade de certificación, executa o comando ./easy-rsade novo, , esta vez con build-ca:

  • ./easyrsa build-ca

Na saída, verá algunhas liñas na versión de OpenSSL e solicitaráselle Para introducir unha frase de contrasinal para o seu par de chaves. Asegúrese de escoller unha frase de paso sólido e escríbea nun lugar seguro. Deberá introducir o contrasinal cada vez que terá que interactuar co seu CA, por exemplo, para asinar ou revocar un certificado.

Tamén se lle pedirá que confirme o nome común (CN) da súa AC .. O nome común é o nome usado para designar esta máquina no contexto da autoridade de certificación. Pode introducir calquera cadea para o nome común do CA pero, por mor da sinxeleza, prema Intro para aceptar o nome predeterminado.

Output
. . .Enter New CA Key Passphrase:Re-Enter New CA Key Passphrase:. . .Common Name (eg: your user, host, or server name) :CA creation complete and you may now import and sign cert requests.Your new CA certificate file for publishing is at:/home/sammy/easy-rsa/pki/ca.crt

Nota: se Non quere que se solicite un contrasinal cada vez que interactúa coa súa AC, pode executar o comando build-ca con nopass, así :

  • ./easyrsa build-ca nopass

Agora tes dous ficheiros importantes – e ~/easy-rsa/pki/private/ca.key – que constitúen os compoñentes públicos e privados dunha autoridade de certificación.

  • ca.crt é o ficheiro de certificado público da ca. Os usuarios, servidores e clientes usarán este certificado para verificar que forman parte da mesma rede de confianza. Cada usuario e servidor que utilizan a súa CA terá que ter unha copia deste ficheiro. Todas as partes estarán baseadas no certificado público para garantir que unha persoa non vai a un sistema e non realice un ataque home-in-the-media.

  • ca.key é a clave privada que a CA usa para asinar as claves e certificados de servidores e clientes. Se un intruso accede á túa AC e, á súa vez, ao teu ficheiro ca.key, terás que destruír a túa AC. É por iso que o ficheiro ca.key só debe estar na máquina AC e a máquina AC debe manterse idealmente fóra de liña cando non asina solicitudes de certificado, para medir a seguridade adicional.

Con isto, a súa AC está no lugar e está listo para ser usado para asinar solicitudes de certificado e revocar certificados.

Paso 4 – Distribuír O certificado público do seu CA

O seu AC agora está configurado e listo para actuar como unha raíz de confianza para todos os sistemas que desexa configurar para usalo. Pode engadir o certificado CA aos seus servidores de OpenVPN, servidores web, servidores de correo electrónico, etc. Calquera usuario ou servidor que debe verificar a identidade doutro usuario ou servidor na súa rede debería ter unha copia do ficheiroca.crt importado na tenda de certificados do seu sistema operativo.

Para importar o certificado da AC desde o CA nun segundo sistema Linux como outro servidor ou a computadora local, primeiro obtén unha copia do ficheiroca.crtprimeiro.> O seu servidor AC. Podes usar o para sacalo nun terminal, logo copialo e pegarlo nun ficheiro da segunda computadora que importa o certificado. Tamén pode usar ferramentas como scp para transferir o ficheiro entre os sistemas. Non obstante, usaremos unha copia-pegar con nano neste paso porque funciona en todos os sistemas.

Como usuario non root no servidor AC, executalo O seguinte comando:

  • cat ~/easy-rsa/pki/ca.crt

Haberá unha saída no seu terminal que se verá como o seguinte:

Output
-----BEGIN CERTIFICATE-----MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQELBQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw. . .. . .-----END CERTIFICATE-----

Copiar todo, incluída as liñas -----BEGIN CERTIFICATE----- e – -----END CERTIFICATE----- e os trazos.

No seu segundo sistema Linux, use nano ou o seu editor de texto favorito para abrir un ficheiro chamado /tmp/ca.crt:

  • nano /tmp/ca.crt

Paste o contido que acaba de copiar do servidor AC ao editor. Cando remate, garda e pecha o ficheiro. Se usa nano, pode facelo premendo CTRL+X, entón Y eENTER (entrada) para confirmar.

Agora que ten unha copia do no seu segundo sistema de Linux , é hora de importar o certificado na tenda de certificados do seu sistema operativo.

En sistemas baseados en Debian e Ubuntu, execute os seguintes comandos para importar o certificado:

Debian e Distribucións derivadas de Ubuntu
  • cp /tmp/ca.crt /usr/local/share/ca-certificates/
  • update-ca-certificates

para importar o certificado do servidor AC nun sistema baseado en CentOS, Fedora ou RedHat, copiar e pegar o contido do ficheiro no sistema Como no exemplo anterior nun ficheiro chamado /tmp/ca.crt. Entón copiará o certificado en /etc/pki/ca-trust/source/anchors/, entón executará o comando update-ca-trust

CentOS, Fedora, Distribucións RedHat
  • sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/
  • update-ca-trust

O seu segundo sistema de Linux agora confiará en calquera certificado que foi asinado polo servidor AC.

Nota: Se Use a súa AC con servidores web e se usa o navegador de Firefox, necesitará importar directamente o certificadoca.crt público en Firefox. Firefox non usa a tenda de certificación de sistema operativo local. Para obter máis información sobre como engadir o certificado CA a Firefox, consulte este elemento de Mozilla na configuración de CA (AC) en Firefox.

Se usa a súa AC para integrar un ambiente de Windows ou ordenadores de escritorio , consulte a documentación sobre como usar certutil.exe para instalar un certificado CA.

Se usa este tutorial como un requisito previo para outro tutorial, Ou se sabe como asinar e revocar os certificados, pode parar aquí. Se desexa saber máis sobre como asinar e revogar os certificados, a seguinte sección opcional explicará cada proceso en detalle.

(opcional) – Creación de solicitudes de sinatura de certificado e revogación de certificados

As seguintes seccións do tutorial son opcionais. Se realizou todos os pasos anteriores, ten unha autoridade de certificación totalmente configurada e operativa que pode usar como requisito previo para outros tutoriais. Pode importar o da súa CA e comprobar na súa rede os certificados que foron asinados pola súa ca.

Se desexa adestrar e obter máis información sobre como asinar solicitudes de certificado e como revocar os certificados, estas seccións opcionais explicarán como funcionan os dous procesos.

(opcional) – Creación e sinatura dunha solicitude de certificado de práctica

Agora que ten unha AC listo para usar, pode adestrar para xerar unha chave privada e unha solicitude de certificado para familiarizarse co proceso de sinatura e distribución.

Unha aplicación de sinatura de certificado (CSR) consta de tres partes: unha clave pública, credenciais para o sistema que require e unha sinatura da propia solicitude, que se crea usando a clave privada da solicitude solicitante. A clave privada manterase en segredo e será usado para cuantificar a información que calquera co certificado público asinado pode entón descifrar.

Os seguintes pasos executaranse no seu segundo sistema de Debian Linux, Ubuntu ou unha distribución derivado dun destes sistemas. Pode ser outro servidor remoto ou unha máquina Linux local como unha computadora portátil ou de escritorio. Como easy-rsa non está dispoñible por defecto en todos os sistemas, imos usar a ferramenta openssl para crear unha chave privada e un certificado de práctica.

normalmente está instalado por defecto na maioría das distribucións de Linux, pero só para estar seguro, executar o seguinte no seu sistema

  • sudo apt update
  • sudo apt install openssl

Cando se lle solicite instalar openssl, introduza y para continuar pasos de instalación. Agora estás preparado para crear unha práctica de CSR con .

O primeiro paso que debes seguir para crear unha CSR é a xeración dunha chave privada. Para crear unha chave privada usando openssl, crear un directorio “practice-csr” e despois xerar unha chave dentro del. Faremos esta consulta para Un servidor ficticio chamado sammy-server, en oposición á creación dun certificado que se usa para identificar un usuario ou outro AC.

  • mkdir ~/practice-csr
  • cd ~/practice-csr
  • openssl genrsa -out sammy-server.key
Output
Generating RSA private key, 2048 bit long modulus (2 primes). . .. . .e is 65537 (0x010001)

Agora que ten unha chave privada, pode crear unha CSR correspondente, de novo usando o . Ti será invitado a cubrir unha serie de campos como país, estado e cidade. Pode introducir un . se quere deixar un campo baleiro, pero teña en conta que se é real CSR, é mellor usar os valores correctos da súa situación e da súa organización:

  • openssl req -new -key sammy-server.key -out sammy-server.req
Output
. . .-----Country Name (2 letter code) :USState or Province Name (full name) :New YorkLocality Name (eg, city) :New York CityOrganization Name (eg, company) :DigitalOceanOrganizational Unit Name (eg, section) :CommunityCommon Name (eg, your name or your server's hostname) :sammy-serverEmail Address :Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password :An optional company name :

Se queres engadir automaticamente Estes valores como parte da invocación en lugar de a través do aviso interactivo, pode pasar o argumento -subj a openssl. Asegúrese de cambiar os valores destacados para que coincida co seu lugar de práctica, a súa organización e en nome do seu servidor:

  • openssl req -new -key sammy-server.key -out server.req -subj \
  • /C=US/ST=New\ York/L=New\ York\ City/O=DigitalOcean/OU=Community/CN=sammy-server

para comprobar o contido dun CSR, pode xogar nun arquivo de consulta openssl e examinar os campos dentro

  • openssl req -in sammy-server.req -noout -subject
Output
subject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server

Unha vez que estea satisfeito co obxecto da súa solicitude de certificado, copie o ficheiro sammy-server.req no servidor AC usando scp

Durante este paso, xerou unha solicitude de sinatura de certificado para un servidor ficticio chamado sammy-server. Nun escenario real, a solicitude pode provir dun servidor web de desenvolvemento ou simulación que necesita un certificado TLS para probas ou un servidor de OpenVPN que requira un certificado para que os usuarios poidan conectarse a unha VPN. Durante o seguinte paso, pasaremos á sinatura da solicitude de sinatura do certificado usando a chave privada do servidor AC.

(opcional) – Sinatura dunha CSR

No anterior Paso, creou unha solicitude de certificado de práctica e unha chave para un servidor ficticio. Copiárono no directorio/tmp do servidor AC, emulando o proceso que usaría se tivese clientes ou servidores reais que lle envían solicitudes de CSR que deben ser asinadas.

Continuando o escenario ficticio, o servidor AC debe agora importar o certificado de práctica e asinar-lo.Unha vez que unha solicitude de certificado sexa validada pola CA e transmite a un servidor, os clientes que confían na autoridade de certificación tamén poderán confiar no certificado recentemente emitido.

Como operaremos. Dentro do ICP da AC Onde está dispoñible a utilidade easy-rsa, os pasos de sinatura usarán a utilidade easy-rsa para facilitar as cousas, no canto de usar directamente Como fixemos no exemplo anterior.

O primeiro paso para asinar a CSR ficticia é importar a solicitude de certificado usando o script easy-rsa

Output
. . .The request has been successfully imported with a short name of: sammy-serverYou may now use this name to perform signing operations on this request.

Agora pode asinar a solicitude executando o script easyrsa co sign-req seguido do tipo de consulta e o nome común que está incluído na CSR. O tipo de consulta pode ser clientserver ou ca. A medida que adestrou cun certificado para un servidor ficticio, asegúrese de usar o tipo de consulta de serveur:

  • ./easyrsa sign-req server sammy-server

Na saída, pediráselle que verifique que a consulta provén dunha fonte fiable. Tipo yes e prema ENTER para confirmar:

Output
You are about to sign the following certificate.Please check over the details shown below for accuracy. Note that this requesthas not been cryptographically verified. Please be sure it came from a trustedsource or that you have verified the request checksum with the sender.Request subject, to be signed as a server certificate for 3650 days:subject= commonName = sammy-serverType the word 'yes' to continue, or any other input to abort. Confirm request details: yes. . .Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt

Se Cifriuse a tecla AC, solicitaráselle o seu contrasinal neste momento.

Unha vez que se completan estes pasos, asinou a CSR sammy-server.req ao usar A chave privada do servidor AC en . O ficheiro ” contén a clave de cifrado público do servidor de prácticas, así como unha nova sinatura do servidor AC. O obxectivo da sinatura é dicir a calquera que confía na que tamén pode confiar no certificado de servidor de prácticas sammy-server

Se esta consulta está relacionada cun servidor real Como un servidor web ou un servidor VPN, o último paso no servidor AC sería distribuír o novo e ca.crt a partir do Servidor AC ao servidor remoto que fixo a consulta CSR:

Neste punto, debería poder usar o certificado emitido con algo así como unha web Servidor, unha VPN, unha ferramenta de xestión de configuración, un sistema de base de datos ou para fins de autenticación de clientes.

(opcional) – Revogación dun certificado

Pode que teña que revogar un certificado a evitar que un usuario ou servidor use-lo. O portátil de alguén foi roubado, un servidor web foi comprometido, ou un empregado ou contratista deixou a súa organización.

Para revocar un certificado, o procedemento xeral segue os seguintes pasos:

  1. revogar o certificado co comando ./easyrsa revoke client_name
  2. Xerar un novo LRC co comando ./easyrsa gen-crl
  3. Transferir o actualizado ao servidor ou servidores que dependen da súa AC e destes sistemas, copie o ficheiro no directorio (s) requirido (s) para os programas que consulte.
  4. Reinicie todos os servizos que usan o seu CA e o ficheiro LRC.

Pode usar este proceso para revogar en calquera momento os certificados que previamente emitiu .. Entraremos en detalles cada paso das seguintes seccións, comezando co “comandorevoke

Revocar un certificado

para revocar un certificado, Navega ata o directorioeasy-rsa no servidor AC:

  • cd ~/easy-rsa

Seguinte, inicie o script easyrsa coa opción revoke, seguido do nome do cliente que desexa revogar: seguindo o exemplo de práctica anterior, o nome común do certificado é sammy-server:

  • ./easyrsa revoke sammy-server

Pediráselle que confirme a revogación introducindo yes :

Output
Please confirm you wish to revoke the certificate with the following subject:subject= commonName = sammy-serverType the word 'yes' to continue, or any other input to abort. Continue with revocation: yes. . .Revoking Certificate 8348B3F146A765581946040D5C4D590A. . .

Nota O valor resaltado na liña Revoking Certificate Este valor é o número de serie único do certificado que está a ser renovado. Se desexa revisar a lista de revogación no último paso desta sección para verificar que o certificado está aí, necesitará este valor.

Despois de confirmar a acción, a AC revocará o certificado. Non obstante, os sistemas remotos que dependen da CA non teñen ningunha forma de verificar se se revogaron os certificados.Os usuarios e os servidores sempre poderán utilizar o certificado ata que a lista de certificados Revoked CA (LCR) distribúese a todos os sistemas que dependen da AC.

No seguinte paso, xerará un LCR ou actualizará a .

Xerar unha lista de revogación de certificado

Agora se revogou un certificado, é importante actualizar a lista de Certificados revogados no servidor AC. Unha vez que teña actualizado a lista de revocacións, poderá coñecer cales usuarios e cales sistemas teñen certificados válidos no seu AC.

para xerar un LRC, execute o easy-rsa coa opción gen-crl mentres permanece no directorio~/easy-rsa:

  • ./easyrsa gen-crl

Se usou un contrasinal ao crear o ficheiroca.key, solicitaráselle que o introduza. O comando gen-crl xerará un ficheiro chamado crl.pem, que contén a lista actualizada de certificados revogados para esta AC.

A continuación, terá que transferir o ficheirocrl.pem actualizado a todos os servidores e clientes que dependen deste AC cada vez que execute o comando gen-crl. Se non, os clientes e os sistemas sempre poderán acceder aos servizos e sistemas que usan a súa CA, xa que estes servizos deben coñecer o estado de revogación do certificado.

Transferir unha lista de revogación de certificados

agora Que xeraches un LCR no servidor da túa AC, debes transferilo a sistemas remotos que dependen da túa AC. Para transferir este ficheiro aos seus servidores, pode usar o comandoscp.

Nota: Este tutorial explica como xerar e distribuír manualmente un LCR. Aínda que hai métodos máis fortes e automatizados para distribuír e verificar as listas de revogación, como a grapada de OCSP, configurar estes métodos supera este elemento.

Asegúrese de que está conectado ao seu servidor AC como un Usuario non root e realizar as seguintes operacións, substituíndo o nome IP ou DNS do seu propio servidor no canto de :

Agora que o ficheiro está no sistema remoto, o último paso é actualizar todos os servizos coa nova copia da lista de revogación.

Actualización de servizos que soportan un LCR

A enumeración dos pasos para actualizar os servizos que usan o ficheirocrl.pem supera o alcance deste tutorial. En xeral, terá que copiar o ficheiro crl.pem á localización proporcionada polo servizo e, a continuación, reinicie-lo usando systemctl.

Unha vez que actualizou os seus servizos co novo , os seus servizos poderán rexeitar as conexións do cliente ou servidores que usen un certificado revogado.

Revisión e verificación do contido dun LCR

Se desexa examinar un ficheiro CRL, por exemplo para confirmar unha lista de certificados revocados, use o A continuación do seu easy-rsa no servidor AC:

  • cd ~/easy-rsa
  • openssl crl -in pki/crl.pem -noout -text

Tamén pode executar este comando en calquera Servidor ou sistema que ten a ferramenta openssl instalada cunha copia do ficheiro crl.pem. Por exemplo, se transferiu o ao seu segundo sistema e desexa verificar que o certificado de sammy-server está revogado, pode Use un comando como o seguinte, introducindo o número de serie que observou anteriormente cando revogou o certificado no canto do número resaltado aquí:

  • openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A
Output
Serial Number: 8348B3F146A765581946040D5C4D590A Revocation Date: Apr 1 20:48:02 2020 GMT

AVISO Como se usa o comandogrep para comprobar o número de serie único que notou no Paso de revogación. Agora podes comprobar os contidos da túa lista de revogación de certificados en calquera sistema que depende diso para restrinxir o acceso a usuarios e servizos.

Conclusión

Neste tutorial, creaches un privado Autoridade de certificación Usando o paquete Easy-RSA nun servidor de Debian Standalone. Aprendeu como funciona o modelo de confianza entre as partes que dependen da autoridade de certificación.Tamén creou e asinou unha solicitude de sinatura de certificado (CSR) para un servidor de prácticas e despois aprendeu a revogar un certificado. Finalmente, aprendeu a xerar e distribuír unha lista de revogación de certificados (RCP) para calquera sistema que depende do seu CA para garantir que os usuarios ou servidores que non deben acceder aos servizos son impedidos.

Agora pode Entregar certificados para usuarios e usalos con servizos como OpenVPN. Tamén pode usar a súa CA para configurar servidores web de desenvolvemento e simulación con certificados para garantir os seus ambientes de non produción. Usar un CA con certificados TLS durante o desenvolvemento pode axudar a garantir que o seu código e ambientes sexan o máximo posible para o seu ambiente de produción.

Se desexa saber máis sobre o uso de OpenSSL, visite a páxina de principios esenciais opensSl : Traballar con certificados SSL, claves privadas e CSRS contén unha gran cantidade de información adicional para axudarche a familiarizarse cos principios fundamentais de OpenSSL. P.>

Leave a comment

O teu enderezo electrónico non se publicará Os campos obrigatorios están marcados con *