Introduzione

A CA (AC) Autorità è un’entità responsabile del rilascio dei certificati digitali per controllare le identità su internet. Sebbene le scelte pubbliche e pubbliche siano una scelta popolare per verificare l’identità di siti Web e altri servizi forniti al pubblico in generale, CAS privato è generalmente utilizzato per gruppi chiusi e servizi privati.

La creazione di una certificazione privata L’autorità ti consentirà di configurare, testare ed eseguire programmi che richiedono connessioni crittografate tra un client e un server. Con un AC privato, è possibile emettere certificati per utenti, server o singoli programmi e servizi all’interno della vostra infrastruttura.

Alcuni esempi di programmi Linux che utilizzano i propri AC personalizzati sono OpenVPN e Burattino. È inoltre possibile configurare il server Web per utilizzare i certificati emessi da un AC privato per abbinare gli ambienti di sviluppo e simulazione ai server di produzione che utilizzano TLS per crittografare le connessioni.

In questa guida, impareremo come impostare Su un’autorità di certificazione privata su un server Debian 10 e su come generare e firmare un certificato di test utilizzando la nuova AC. Imparerai inoltre come importare il certificato CA dal server CA nell’archivio certificati sul sistema operativo in modo da poter controllare la catena di confidenza tra server AC e remoti o utenti. Infine, imparerai come revocare i certificati e distribuire un elenco di revoca del certificato per garantire che solo utenti e sistemi autorizzati possano utilizzare i servizi che riposano sul tuo AC.

Prerequisiti

da seguire Questo tutorial, dovrai accedere a un server Debian 10 per ospitare il servizio OpenVPN. Avrai bisogno di configurare un utente non root con sudo prima di iniziare questa guida. È possibile seguire la nostra Guida alla configurazione del server Debian Initial Server 10 per configurare un utente con le autorizzazioni appropriate. Il tutorial congiunto configurarà anche un firewall, supposto di rimanere in posizione per tutta questa guida.

Questo server verrà chiamato Server AC in questo tutorial.

Assicurarsi che tu Il server è un sistema stand-alone. Sarà usato solo per importare, firmare e revocare le applicazioni del certificato. Non dovrebbe gestire altri servizi e, idealmente, sarà offline o completamente chiuso quando non si lavora attivamente con il tuo AC.

Nota: l’ultima sezione di questo tutorial è facoltativa se si desidera saperne di più sulla firma e la revoca dei certificati. Se si sceglie di seguire questi passaggi di pratica, è necessario un secondo server Debian 10 o puoi anche utilizzare il proprio computer Linux locale in esecuzione sotto Debian o Ubuntu o distribuzioni derivate da uno o dell’altro.

Step 1 – Installazione di Easy-RSA

Il primo compito di questo tutorial è installare il set di script easy-rsa sul tuo server AC. easy-rsa è uno strumento di gestione dell’autorità di certificazione che utilizzerà per generare una chiave privata e un certificato di radice pubblica, che utilizzerai per firmare le richieste e i server dei clienti che si svilupperà sul tuo AC .

Connetti al server AC come utente sudo non root che hai creato durante i passaggi di configurazione iniziali ed eseguire quanto segue:

  • sudo apt update
  • sudo apt install easy-rsa

P> Ti verrà richiesto di scaricare il pacchetto e installarlo. Premereyper confermare che si desidera installare il pacchetto.

A questo punto, hai tutto il necessario, installato e pronto per l’uso facile -Rars. Nel passaggio successivo, creerai un’infrastruttura chiave pubblica, quindi inizierai a costruire la tua autorità di certificazione.

Passaggio 2 – Preparazione di una directory dell’infrastruttura chiave pubblica

Ora che hai installato easy-rsa, è il momento di creare uno scheletro dell’infrastruttura del tasto pubblico (ICP) sul server AC. Assicurati di essere ancora collegato come utente non root e creare una directory easy-rsa Assicurati di non utilizzare sudo per eseguire uno dei seguenti comandi, dal momento che il normale utente deve gestire e Interagire con l’AC senza alto privilegi.

  • mkdir ~/easy-rsa

Creererà una nuova directory chiamata easy-rsa nella tua cartella di base .Utilizzeremo questa directory per creare collegamenti simbolici che puntano al easy-rsa file di pacchetto che abbiamo installato nel passaggio precedente. Questi file si trovano nella cartella /usr/share/easy-rsa sul server AC.

Creare i collegamenti simbolici (collegamento simbolico) con il comando ln:

  • ln -s /usr/share/easy-rsa/* ~/easy-rsa/

Nota: mentre altre guide potrebbero chiederti di copiare i file del pacchetto easy-rsa nel tuo Directory ICP, questo tutorial adotta un approccio di collegamento simbolico. Pertanto, qualsiasi aggiornamento del pacchetto easy-rsa rifletterà automaticamente negli script del tuo ICP.

per limitare l’accesso alla nuova directory. ICP, sicuro che solo il proprietario può accedervi utilizzando il :

  • chmod 700 /home/sammy/easy-rsa

Infine, inizializza l’ICP nel :

  • cd ~/easy-rsa
  • ./easyrsa init-pki
Output
init-pki complete; you may now create a CA or requests.Your newly created PKI dir is: /home/sammy/easy-rsa/pki

Dopo aver completato questa sezione, Hai una directory che contiene tutti i file necessari per creare un’autorità di certificazione. Nella prossima sezione, creerai la chiave privata e il certificato pubblico per il tuo AC.

STEP 3 – Creazione di un’autorità di certificazione

Prima di poter creare il tasto e il privato Certificato del tuo AC, è necessario creare e alimentare un file chiamato vars con alcuni valori predefiniti. Prima di tutto, vai cd in easy-rsa directory, quindi creerai e modificherà il file vars con nano o il tuo editor di testo preferito:

  • cd ~/easy-rsa
  • nano vars

Una volta aperto il file, incollare il file seguenti righe e modificare ciascun valore evidenziato per riflettere le informazioni sulla tua organizzazione. La cosa importante qui è fare attenzione a non lasciare nessuno dei valori in bianco:

~/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "US"set_var EASYRSA_REQ_PROVINCE "NewYork"set_var EASYRSA_REQ_CITY "New York City"set_var EASYRSA_REQ_ORG "DigitalOcean"set_var EASYRSA_REQ_EMAIL "[email protected]"set_var EASYRSA_REQ_OU "Community"set_var EASYRSA_ALGO "ec"set_var EASYRSA_DIGEST "sha512"

al termine, salva e chiudere il file. Se si utilizza nano, puoi farlo premendo CTRL+X, quindi Y e ENTER (voce) per confermare. Ora sei pronto per costruire il tuo AC.

Per creare la coppia di chiavi di radice pubblica e privata per la tua autorità di certificazione, eseguire il comando IV ID = “8FB9B9B222B”, , questa volta con build-ca:

  • ./easyrsa build-ca

Nell’output, vedrai alcune righe sulla versione opensl e ti verrà richiesto Per inserire una passphrase per la coppia di chiavi. Assicurati di scegliere una passphrase solida e scriverlo in un luogo sicuro. Avrai bisogno di inserire la passphrase ogni volta che dovrai interagire con la CA, ad esempio per firmare o revocare un certificato.

Ti verrà chiesto anche di confermare il nome comune (CN) del tuo AC . Il nome comune è il nome utilizzato per designare questa macchina nel contesto dell’autorità di certificazione. È possibile inserire qualsiasi stringa per il nome comune della CA ma, per motivi di semplicità, premere ENTER per accettare il nome predefinito.

Output
. . .Enter New CA Key Passphrase:Re-Enter New CA Key Passphrase:. . .Common Name (eg: your user, host, or server name) :CA creation complete and you may now import and sign cert requests.Your new CA certificate file for publishing is at:/home/sammy/easy-rsa/pki/ca.crt

Nota: se Non vuoi che una password venga richiesta ogni volta che interagire con il tuo AC, è possibile eseguire il comando build-ca con , come questo :

  • ./easyrsa build-ca nopass

Ora hai due file importanti – e ~/easy-rsa/pki/private/ca.key – che costituiscono i componenti pubblici e privati di un’autorità di certificazione.

  • ca.crt è il file del certificato pubblico della ca. Utenti, server e client utilizzeranno questo certificato per verificare che fanno parte della stessa rete fidata. Ogni utente e server che utilizza la CA dovrà avere una copia di questo file. Tutte le parti saranno basate sul certificato pubblico per garantire che una persona non stia andando per un sistema e non esegue un attacco uomo-in-the-medio.

  • ca.key è la chiave privata che la CA utilizza per firmare i tasti e i certificati di server e client. Se un intruso accede al tuo AC e, a sua volta, al tuo file ca.key, dovrai distruggere il tuo AC. Ecco perché il tuo file ca.key dovrebbe essere solo sulla macchina AC e la macchina AC deve idealmente essere mantenuta offline quando non firma le richieste di certificati, per misurare ulteriore sicurezza.

Con questo, il tuo AC è in posizione ed è pronto per essere utilizzato per firmare richieste di certificati e revocare i certificati.

STEP 4 – Distribuisci Il certificato pubblico del tuo CA

L’AC è ora configurato e pronto a fungere da radice di fiducia per tutti i sistemi che si desidera configurare per usarlo. È possibile aggiungere il certificato CA ai server OpenVPN, ai server Web, ai server di posta elettronica, ecc. Qualsiasi utente o server che deve verificare l’identità di un altro utente o server sulla rete dovrebbe avere una copia del file ca.crt file importato nel negozio di certificati del suo sistema operativo.

Per importare il certificato AC dalla CA in un secondo sistema Linux come un altro server o computer locale, ottenere innanzitutto una copia del file Server AC. È possibile utilizzare il comando cat per estrarlo in un terminale, quindi copiarlo e incollarlo in un file sul secondo computer che conta il certificato. Puoi anche usare strumenti come scp per trasferire il file tra i sistemi. Tuttavia, useremo una copia-incolla con nano in questo passaggio perché funziona su tutti i sistemi.

Come utente non root sul server AC, eseguire Il seguente comando:

  • cat ~/easy-rsa/pki/ca.crt

Ci sarà un’uscita nel terminale che sarà simile a quanto segue:

Output
-----BEGIN CERTIFICATE-----MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQELBQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw. . .. . .-----END CERTIFICATE-----

Copia tutto, incluse le linee -----BEGIN CERTIFICATE----- e – -----END CERTIFICATE----- e i trattini.

Sul tuo secondo sistema Linux, utilizzare nano o il tuo editor di testo preferito per aprire un file chiamato /tmp/ca.crt:

  • nano /tmp/ca.crt

Incolla il contenuto che hai appena copiato dal server AC nell’editor. Al termine, salvare e chiudere il file. Se si utilizza nano, puoi farlo premendo CTRL+X, quindi Y e ENTER (ingresso) per confermare.

Ora che hai una copia del sul tuo secondo sistema Linux , è il momento di importare il certificato nel negozio di certificati del proprio sistema operativo.

sui sistemi basati su Debian e Ubuntu, eseguire i seguenti comandi per importare il certificato:

Debian e Distribuzioni derivate da Ubuntu
  • cp /tmp/ca.crt /usr/local/share/ca-certificates/
  • update-ca-certificates

Per importare il certificato del server AC su un sistema in base a centos, fedora o redhat, copiare e incollare il contenuto del file sul sistema Come nell’esempio precedente in un file chiamato /tmp/ca.crt. Quindi copirai il certificato in /etc/pki/ca-trust/source/anchors/, eseguirai il comando update-ca-trust.

Centos, Fedora, Distribuzioni di redhat
  • sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/
  • update-ca-trust

Il tuo secondo sistema Linux ora si fida di qualsiasi certificato che è stato firmato dal server AC.

Nota: se tu Utilizza il tuo AC con i server Web e se si utilizza il browser Firefox, è necessario importare direttamente il pubblico in Firefox. Firefox non utilizza il negozio di certificati del sistema operativo locale. Per ulteriori dettagli su come aggiungere il certificato CA a Firefox, consultare questa voce da Mozilla sulla configurazione di CA (AC) in Firefox.

Se si utilizza AC per integrare un ambiente Windows o Desktop Computers , Si prega di fare riferimento alla documentazione su come utilizzare certutil.exe per installare un certificato CA.

Se si utilizza questo tutorial come prerequisito per un altro tutorial, O se sai come firmare e revocare i certificati, puoi fermarti qui. Se si desidera saperne di più su come firmare e revocare i certificati, la seguente sezione facoltativa spiegherà ogni processo in dettaglio.

(facoltativo) – Creazione di richieste di firma del certificato e revoca dei certificati

Le seguenti sezioni del tutorial sono opzionali. Se si sono eseguiti tutti i passaggi precedenti, si dispone di un’autorità di certificazione completamente configurata e operativa che è possibile utilizzare come prerequisito per altri tutorial. È possibile importare il file dal tuo CA e controlla la tua rete i certificati che sono stati firmati dalla tua ca.

Se si desidera addestrare e ulteriori informazioni su come firmare le richieste di certificati e come revocare i certificati, queste sezioni opzionali spiegheranno come funzionano i due processi.

(Facoltativo) – Creazione e firma di una richiesta di certificato di pratica

Ora che hai un AC pronto da usare, è possibile allenarti per generare una chiave privata e una richiesta di certificazione per familiarizzare con il processo di firma e distribuzione.

Un’applicazione firma del certificato (CSR) è composta da tre parti: una chiave pubblica, credenziali al sistema che richiede il sistema e una firma della richiesta stessa, che viene creata utilizzando la chiave privata della parte richiedente. La chiave privata sarà tenuta segreta e sarà utilizzata per quantificare le informazioni che chiunque abbia il certificato pubblico firmato può quindi decifrare.

I seguenti passaggi saranno eseguiti sul tuo secondo sistema Debian Linux, Ubuntu o una distribuzione derivato da uno di questi sistemi. Può essere un altro server remoto o una macchina Linux locale come un computer portatile o un computer desktop. Comeeasy-rsa non è disponibile per impostazione predefinita su tutti i sistemi, utilizzeremo lo strumento openssl per creare una chiave privata e un certificato di pratica.

è solitamente installato per impostazione predefinita sulla maggior parte delle distribuzioni Linux, ma solo per essere sicuro, eseguire quanto segue sul tuo sistema

  • sudo apt update
  • sudo apt install openssl

Quando richiesto di installare openssl, immettere y per continuare i passaggi di installazione. Ora sei pronto per creare una pratica CSR con .

Il primo passo da seguire per creare un CSR è la generazione di una chiave privata. Per creare una chiave privata utilizzando openssl, creare una directory “practice-csr” e quindi generare una chiave per cui faremo questa query. Un server fittizio chiamato sammy-server, al contrario della creazione di un certificato che viene utilizzato per identificare un utente o altro AC.

  • mkdir ~/practice-csr
  • cd ~/practice-csr
  • openssl genrsa -out sammy-server.key
Output
Generating RSA private key, 2048 bit long modulus (2 primes). . .. . .e is 65537 (0x010001)

Ora che hai una chiave privata, è possibile creare una CSR corrispondente, di nuovo utilizzando . tu sarà invitato a riempire un numero di campi come paese, stato e città. Puoi inserire un . Se vuoi lasciare un campo vuoto, ma sii consapevole che se è reale CSR, è meglio usare i valori corretti della tua posizione e la tua organizzazione:

  • openssl req -new -key sammy-server.key -out sammy-server.req
Output
. . .-----Country Name (2 letter code) :USState or Province Name (full name) :New YorkLocality Name (eg, city) :New York CityOrganization Name (eg, company) :DigitalOceanOrganizational Unit Name (eg, section) :CommunityCommon Name (eg, your name or your server's hostname) :sammy-serverEmail Address :Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password :An optional company name :

Se vuoi aggiungere automati Questi valori come parte del invocation anziché tramite il prompt interattivo, è possibile superare l’argomento -subj a openssl. Assicurati di cambiare i valori evidenziati per abbinare il tuo luogo di pratica, la tua organizzazione e per conto del tuo server:

  • openssl req -new -key sammy-server.key -out server.req -subj \
  • /C=US/ST=New\ York/L=New\ York\ City/O=DigitalOcean/OU=Community/CN=sammy-server

per controllare il contenuto di a CSR, è possibile riprodurre in un file di query con openssl ed esaminare i campi all’interno

  • openssl req -in sammy-server.req -noout -subject
Output
subject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server

Una volta soddisfatto dell’oggetto della richiesta del certificato, copiare il file sammy-server.req sul tuo server AC usando scp

Durante questo passaggio, hai generato una richiesta di firma del certificato per un server fittizio denominato sammy-server. In uno scenario reale, la richiesta può provenire da uno sviluppo o un server Web di simulazione che necessita di un certificato TLS per test o un server OpenVPN che richiede un certificato in modo che gli utenti possano connettersi a una VPN. Durante il passo successivo, sposteremo alla firma della richiesta di firma del certificato utilizzando la chiave privata del server AC.

(opzionale) – Firma di un CSR

Nel precedente Passaggio, hai creato una richiesta di certificato di pratica e una chiave per un server fittizio. L’hai copiato in dal server AC, emulando il processo che si utilizza se avessi veri client o server che inviano richieste CSR che devono essere firmate.

Continuare lo scenario fittizio, il server AC deve ora importare il certificato di pratica e firmarlo.Una volta che una richiesta di certificazione è convalidata dal CA e dal relay a un server, i client che si fidano anche dell’autorità di certificazione potranno fidarsi del certificato appena rilasciato.

Affinché opereremo. Nell’ICP del CA Dove è disponibile l’utilità easy-rsa, i passaggi della firma utilizzeranno l’utilità easy-rsa utilità per facilitare le cose, invece di usare direttamente Come abbiamo fatto nell’esempio precedente.

Il primo passo per firmare il CSR fittizio è quello di importare la richiesta di certificato utilizzando lo script easy-rsa

  • cd ~/easy-rsa
  • ./easyrsa import-req /tmp/sammy-server.req sammy-server
Output
. . .The request has been successfully imported with a short name of: sammy-serverYou may now use this name to perform signing operations on this request.

Ora è possibile firmare la richiesta eseguendo lo script easyrsa con sign-req seguito dal tipo di query e dal nome comune che è incluso nella CSR. Il tipo di query può essere clientserver o ca. Mentre alleniamo con un certificato per un server fittizio, assicurati di utilizzare il tipo di query di serveur:

  • ./easyrsa sign-req server sammy-server

In uscita, ti verrà chiesto di verificare che la query proviene da una fonte affidabile. Digitare quindi premere ENTER per confermare:

Output
You are about to sign the following certificate.Please check over the details shown below for accuracy. Note that this requesthas not been cryptographically verified. Please be sure it came from a trustedsource or that you have verified the request checksum with the sender.Request subject, to be signed as a server certificate for 3650 days:subject= commonName = sammy-serverType the word 'yes' to continue, or any other input to abort. Confirm request details: yes. . .Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt

Se Hai crittografato il tuo tasto AC, ti verrà chiesto la tua password a questo punto.

Una volta completato questi passaggi, hai firmato il CSR sammy-server.req nell’uso La chiave privata del server AC in /home/sammy/easy-rsa/pki/private/ca.key. Il file risultante ” contiene la chiave di crittografia pubblica del server di pratica, nonché una nuova firma del server AC. Lo scopo della firma è di dire a chiunque si fidasse della CA che può anche fidarsi del certificato del server di pratica sammy-server

Se questa query si riferisce a un server reale Come un server Web o un server VPN, l’ultimo passaggio sul server AC sarebbe quello di distribuire il nuovo e ca.crt dal Server AC al server remoto che ha reso la query CSR:

A questo punto, dovresti essere in grado di utilizzare il certificato rilasciato con qualcosa come un Web Server, una VPN, uno strumento di gestione della configurazione, un sistema di database o per scopi di autenticazione del client.

(facoltativo) – Revoca di un certificato

Potrebbe essere necessario revocare un certificato a evitare che un utente o un server usarlo. Il laptop di qualcuno è stato rubato, un server Web è stato compromesso, o un dipendente o un appaltatore ha lasciato la tua organizzazione.

Per revocare un certificato, la procedura generale segue i seguenti passaggi:

  1. revocare il certificato con il comando ./easyrsa revoke client_name
  2. Genera una nuova LRC con il comando ./easyrsa gen-crl
  3. Trasferisci il file crl.pemAggiornato il server o il server che dipendono dal proprio AC e su questi sistemi, copia il file nella / e directory richiesto per i programmi che fare riferimento ad esso.
  4. Riavvia tutti i servizi che utilizzano il file CA e il file LRC.

È possibile utilizzare questo processo da revocare in qualsiasi momento i certificati che hai precedentemente rilasciato . Andremo in dettaglio ogni passaggio nelle seguenti sezioni, a partire dal comando revoke

revoca un certificato

per revocare un certificato, Passare a easy-rsa Directory sul tuo server AC:

  • cd ~/easy-rsa

Avanti, Avvia lo script easyrsa con l’opzione revoke, seguito dal nome del cliente che desideri revocare: seguendo l’esempio della pratica sopra, il nome comune del certificato è sammy-server:

  • ./easyrsa revoke sammy-server

Ti verrà chiesto di confermare la revoca inserendo :

Output
Please confirm you wish to revoke the certificate with the following subject:subject= commonName = sammy-serverType the word 'yes' to continue, or any other input to abort. Continue with revocation: yes. . .Revoking Certificate 8348B3F146A765581946040D5C4D590A. . .

Nota il valore evidenziato sulla riga Revoking Certificate Questo valore è il numero di serie univoco del certificato che viene rinnovato. Se si desidera rivedere l’elenco di revoca nell’ultimo passaggio in questa sezione per verificare che il certificato sia lì, è necessario questo valore.

Dopo aver confermato l’azione, l’AC reviene il certificato. Tuttavia, i sistemi remoti che dipendono dalla CA non hanno modo di verificare se i certificati sono stati revocati.Utenti e server saranno sempre in grado di utilizzare il certificato fino a quando l’elenco dei certificati di CA revocati (LCR) è distribuito a tutti i sistemi che dipendono da AC.

Nel passaggio successivo, genererai un LCR o un aggiornamento Un file .

Genera un elenco di revoca del certificato

Ora se hai revocato un certificato, è importante aggiornare l’elenco di Certificati revocati sul tuo server AC. Una volta aggiornato l’elenco delle revocazioni, sarai in grado di sapere quali utenti e quali sistemi hanno certificati validi nel tuo AC.

per generare un LRC, eseguire il comando easy-rsa con l’opzione gen-crl rimanendo in :

id = “5e8576d16” >

Se hai utilizzato una passphrase durante la creazione del file ca.key file, ti verrà richiesto di inserirlo. Il comando gen-crl genererà un file chiamato crl.pem, contenente l’elenco aggiornato dei certificati revocati per questo AC.

Quindi è necessario trasferire il file crl.pem Aggiornato il file su tutti i server e i client che dipendono da questa AC ogni volta che si esegue il comando gen-crl. Altrimenti, i clienti e i sistemi saranno sempre in grado di accedere ai servizi e ai sistemi che utilizzano la CA, poiché questi servizi devono conoscere lo stato della revoca del certificato.

Trasferire un elenco di revoca del certificato

ora Di cui hai generato un LCR sul server del tuo AC, è necessario trasferirlo su sistemi remoti che dipendono dal tuo AC. Per trasferire questo file sui server, è possibile utilizzare il comando scp.

Nota: questo tutorial spiega come generare manualmente e distribuire un LCR. Sebbene ci siano metodi più forti e automatizzati per la distribuzione e il controllo degli elenchi di revoca, come la graffatura OCSP, la configurazione di questi metodi supera questo elemento.

Assicurati. Tu che sei connesso al tuo server AC come a Utente non root ed eseguire le seguenti operazioni, sostituire il nome IP o DNS del proprio server invece di :

Ora che il file è sul sistema remoto, l’ultimo passaggio è aggiornare tutti i servizi con la nuova copia dell’elenco di revoca.

Aggiornamento dei servizi che supportano un LCR

L’enumerazione dei passaggi per aggiornare i servizi che utilizzano il file crl.pem supera la portata di questo tutorial. In generale, è necessario copiare il file crl.pem nella posizione fornita dal servizio, quindi riavviarlo utilizzando systemctl.

Una volta aggiornato i tuoi servizi con il nuovo file crl.pem, i servizi saranno in grado di rifiutare connessioni o server client che utilizzano un certificato revocato.

Revisione e verifica del contenuto di un LCR

Se si desidera esaminare un file CRL, ad esempio per confermare un elenco di certificati revocati, utilizzare il comando Avanti dal easy-rsa Directory sul tuo server AC:

  • cd ~/easy-rsa
  • openssl crl -in pki/crl.pem -noout -text

È anche possibile eseguire questo comando su qualsiasi Server o sistema che ha installato con una copia del file crl.pem file. Ad esempio, se hai trasferito il file crl.pem al secondo sistema e vuoi verificare che il certificato di sammy-server è revocato, puoi Utilizzare un comando come segue, introducendo il numero di serie che hai indicato in precedenza quando hai revocato il certificato anziché il numero evidenziato qui:

  • openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A
Output
Serial Number: 8348B3F146A765581946040D5C4D590A Revocation Date: Apr 1 20:48:02 2020 GMT

AVVISO Come grep Comando è usato per controllare il numero di serie univoco che hai notato in fase di revoca. Ora è possibile controllare il contenuto del proprio elenco di revoca del certificato su qualsiasi sistema che si basa su di esso per limitare l’accesso agli utenti e ai servizi.

Conclusione

In questo tutorial, hai creato un privato Autorità di certificazione che utilizza il pacchetto Easy-RSA su un server di Debian standalone. Hai imparato come funziona il modello fidato tra le parti che si basano sull’autorità di certificazione.Hai anche creato e firmato un’applicazione di firma del certificato (CSR) per un server pratica, quindi ha imparato a revocare un certificato. Infine, hai imparato come generare e distribuire un elenco di revoca di certificazione (RCP) per qualsiasi sistema che dipende dalla tua CA per garantire che gli utenti oi server che non dovrebbero accedere ai servizi vengano prevenuti.

Ora puoi Consegna certificati per gli utenti e utilizzarli con servizi come OpenVPN. È inoltre possibile utilizzare la CA per configurare i server Web di sviluppo e simulazione con certificati per proteggere i propri ambienti di non produzione. L’utilizzo di un AC con certificati TLS durante lo sviluppo può contribuire a garantire che il tuo codice e ambienti sia il più possibile al tuo ambiente di produzione.

Se si desidera saperne di più sull’uso dell’uso, visita la nostra pagina PRINCIPESSLE ESSICALE OPENSSL : Lavorare con certificati SSL, chiavi private e CSRS contiene molte informazioni aggiuntive per aiutarti a familiarizzare con i principi fondamentali di OpenSSL. P.>

Leave a comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *