Introdução

A autoridade CA (AC) é uma entidade responsável pela emissão de certificados digitais para verificar identidades na internet. Embora as opções públicas e públicas são uma escolha popular para verificar a identidade de sites e outros serviços fornecidos ao público em geral, a CAS privada são geralmente usadas para grupos fechados e serviços privados.

A criação de uma certificação privada A autoridade permitirá que você configure, testar e execute programas que exigem conexões criptografadas entre um cliente e um servidor. Com um AC privado, você pode emitir certificados para usuários, servidores ou programas e serviços individuais dentro de sua infraestrutura.

Alguns exemplos de programas Linux que usam seus próprios ACs privados são OpenVPN e fantoche. Você também pode configurar seu servidor web para usar certificados emitidos por um AC privado para corresponder aos ambientes de desenvolvimento e simulação para os servidores de produção que usam TLS para criptografar conexões.

Neste guia, vamos aprender a definir uma autoridade de certificação privada em um servidor Debian 10 e como gerar e assinar um certificado de teste usando seu novo AC. Você também aprenderá como importar o certificado CA no servidor CA para o armazenamento de certificados em seu sistema operacional para que você possa verificar a cadeia de confiança entre os servidores AC e remotos ou usuários. Finalmente, você aprenderá como revogar certificados e distribuir uma lista de revogação de certificados para garantir que apenas usuários e sistemas autorizados possam usar os serviços que descansam no seu AC.

pré-requisitos

para seguir Este tutorial, você precisará ter acesso a um servidor Debian 10 para hospedar seu serviço OpenVPN. Você precisará configurar um usuário não raiz com sudo antes de iniciar este guia. Você pode seguir nosso Guia de Configuração Inicial do Debian Server 10 para configurar um usuário com as permissões apropriadas. O tutorial conjunto também estabelecerá um firewall, deveria ficar no lugar ao longo deste guia.

Este servidor será chamado de servidor CA neste tutorial.

Garantir -Você é o AC O servidor é um sistema autônomo. Ele só será usado para importar, assinar e revogar aplicativos de certificado. Não deve lidar com outros serviços e, idealmente, estará offline ou completamente fechado quando você não funcionar ativamente com o seu AC.

Nota: A última seção deste tutorial é opcional se você deseja saber mais sobre a assinatura e a revogação de certificados. Se você optar por seguir estes passos práticos, precisará de um segundo servidor Debian 10 ou também poderá usar seu próprio computador local Linux em execução em Debian ou Ubuntu, ou distribuições derivadas de um ou outro.

H2> Passo 1 – Instalação do Easy-RSA

A primeira tarefa deste tutorial é instalar o conjunto de scripts easy-rsa no seu servidor AC. easy-rsa é uma ferramenta de gerenciamento de autoridade de certificação que você usará para gerar uma chave privada e um certificado de raiz pública, que você usará para assinar solicitações e servidores do cliente que irá construir em seu AC .

Conecte ao seu servidor AC como um usuário do sudo não raiz que você criou durante as etapas de configuração inicial e execute o seguinte:

  • sudo apt update
  • sudo apt install easy-rsa

Você será solicitado a baixar o pacote e instalá-lo. Pressione y para confirmar que você deseja instalar o pacote.

Neste ponto, você tem tudo o que precisa, instalado e pronto para usar fácil -Rars. Na próxima etapa, você criará uma infraestrutura de chave pública, então você começará a construir sua autoridade de certificação.

Etapa 2 – Preparação de um diretório de infraestrutura de chave pública

agora que você tem Instalado easy-rsa É hora de criar um esqueleto da infraestrutura de chave pública (ICP) no servidor AC. Certifique-se de ainda estar conectado como um usuário não raiz e crie um diretório easy-rsa Certifique-se de não usar sudo para executar um dos seguintes comandos, já que seu usuário normal deve manipular e Interagir com o AC sem privilégios altos.

  • mkdir ~/easy-rsa

Isso criará um novo diretório chamado easy-rsa na sua pasta base .Vamos usar esse diretório para criar links simbólicos apontando para os arquivos de pacote easy-rsa que instalamos na etapa anterior. Esses arquivos estão localizados na pasta /usr/share/easy-rsa no servidor AC.

Crie os links simbólicos (links symlinks) com o comando ln

  • ln -s /usr/share/easy-rsa/* ~/easy-rsa/

Nota: Enquanto outros guias podem pedir para você copiar os arquivos do pacote easy-rsa no seu Diretório ICP, este tutorial adota uma abordagem de link simbólica. Portanto, qualquer atualização do pacote easy-rsa refletirá automaticamente nos scripts do seu ICP.

Para restringir o acesso ao seu novo diretório. ICP, fazer Certifique-se de que apenas o proprietário pode acessá-lo usando o comando chmod:

  • chmod 700 /home/sammy/easy-rsa

Finalmente, inicialize o ICP no easy-rsa:

  • cd ~/easy-rsa
  • ./easyrsa init-pki
Output
init-pki complete; you may now create a CA or requests.Your newly created PKI dir is: /home/sammy/easy-rsa/pki

Após concluir esta seção, Você tem um diretório que contém todos os arquivos necessários para criar uma autoridade de certificação. Na próxima seção, você criará a chave privada e o certificado público para o seu AC.

Passo 3 – Criação de uma autoridade de certificação

antes de criar a chave e o privado Certificado do seu AC, você deve criar e alimentar um arquivo chamado vars com alguns valores padrão. Primeiro de tudo, você vai cd no diretório easy-rsa, você criará e modificará o arquivo vars com nano ou seu editor de texto favorito:

  • cd ~/easy-rsa
  • nano vars

Uma vez que o arquivo esteja aberto, cole o seguintes linhas e modificar cada valor destacado para refletir suas próprias informações da organização. O importante aqui é ter cuidado para não deixar nenhum dos valores em branco:

~/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "US"set_var EASYRSA_REQ_PROVINCE "NewYork"set_var EASYRSA_REQ_CITY "New York City"set_var EASYRSA_REQ_ORG "DigitalOcean"set_var EASYRSA_REQ_EMAIL "[email protected]"set_var EASYRSA_REQ_OU "Community"set_var EASYRSA_ALGO "ec"set_var EASYRSA_DIGEST "sha512"

Quando terminar, salve e feche o arquivo. Se você usar nano, você pode fazê-lo pressionando CTRL+X, então Y e ENTER (entrada) para confirmar. Agora você está pronto para construir sua AC.

Para criar o par de chaves da raiz pública e privada para sua autoridade de certificação, execute o comando ./easy-rsanovamente, , desta vez com build-ca

  • ./easyrsa build-ca

Na saída, você verá algumas linhas na versão OpenSSL e você será solicitado para inserir uma frase secreta para o seu par de chaves. Certifique-se de escolher uma frase secreta sólida e escrevê-la em um local seguro. Você precisará inserir a frase frase toda vez que precisará interagir com sua CA, por exemplo, para assinar ou revogar um certificado.

Você também será solicitado a confirmar o nome comum (CN) do seu AC. . O nome comum é o nome usado para designar esta máquina no contexto da autoridade de certificação. Você pode inserir qualquer string para o nome comum da CA, mas, por uma questão de simplicidade, pressione ENTER para aceitar o nome padrão.

Output
. . .Enter New CA Key Passphrase:Re-Enter New CA Key Passphrase:. . .Common Name (eg: your user, host, or server name) :CA creation complete and you may now import and sign cert requests.Your new CA certificate file for publishing is at:/home/sammy/easy-rsa/pki/ca.crt

Nota: Se Você não quer que uma senha seja solicitada toda vez que interagir com o seu AC, você pode executar o comando build-ca com nopass, assim :

  • ./easyrsa build-ca nopass

Agora você tem dois arquivos importantes – e ~/easy-rsa/pki/private/ca.key – que constitui os componentes públicos e privados de uma autoridade de certificação.

  • ca.crt é o arquivo de certificado público da CA. Usuários, servidores e clientes usarão este certificado para verificar se fazem parte da mesma rede confiável. Cada usuário e servidor que usa sua CA terá que ter uma cópia deste arquivo. Todas as partes serão baseadas no certificado público para garantir que uma pessoa não esteja indo para um sistema e não execute um ataque homem-no-meio.

  • ca.key é a chave privada que a CA usa para assinar as chaves e certificados de servidores e clientes. Se um intruso acessar seu AC e, por sua vez, para o seu arquivo ca.key, você terá que destruir o seu AC. É por isso que seu arquivo ca.key só deve estar na sua máquina CA e sua máquina CA deve ser mantida offline quando não assinar solicitações de certificado, para medir a segurança adicional.

com isto, o seu AC está no lugar e está pronto para ser usado para assinar solicitações de certificados e revogar certificados.

Passo 4 – Distribuzir O Certificado Público do seu CA

O seu AC está agora configurado e pronto para atuar como uma raiz de confiança para todos os sistemas que você deseja configurar para usá-lo. Você pode adicionar o certificado CA aos servidores do OpenVPN, servidores da Web, servidores de e-mail, etc. Qualquer usuário ou servidor que deve verificar a identidade de outro usuário ou servidor em sua rede deve ter uma cópia do arquivo ca.crt Importado para o armazenamento de certificados de seu sistema operacional.

Para importar o certificado CA da CA em um segundo sistema Linux como outro servidor ou computador local, primeiro obtenha uma cópia do arquivo seu servidor AC. Você pode usar o comando cat para retirá-lo em um terminal, então copiá-lo e colá-lo em um arquivo no segundo computador que importa o certificado. Você também pode usar ferramentas como scp para transferir o arquivo entre os sistemas. No entanto, usaremos uma pasta de cópia com nano nesta etapa porque funciona em todos os sistemas.

Como um usuário não root no servidor AC, execute o seguinte comando:

  • cat ~/easy-rsa/pki/ca.crt

haverá uma saída no seu terminal que se parece com o seguinte:

Output
-----BEGIN CERTIFICATE-----MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQELBQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw. . .. . .-----END CERTIFICATE-----

copiar tudo, incluindo as linhas -----BEGIN CERTIFICATE----- e – -----END CERTIFICATE----- e os traços.

No seu segundo sistema Linux, use nano ou o seu editor de texto favorito para abrir um arquivo chamado /tmp/ca.crt:

  • nano /tmp/ca.crt

cole o conteúdo que você acabou de copiar do servidor AC no editor. Quando terminar, salve e feche o arquivo. Se você usar nano, você pode fazê-lo pressionando CTRL+X, então Y e ENTER (entrada) para confirmar.

Agora que você tem uma cópia do arquivo ca.crt no seu segundo sistema Linux , é hora de importar o certificado para o armazenamento de certificados de seu sistema operacional.

em sistemas com base no Debian e no Ubuntu, execute os seguintes comandos para importar o certificado:

Debian e Distribuições derivadas do Ubuntu
  • cp /tmp/ca.crt /usr/local/share/ca-certificates/
  • update-ca-certificates

Para importar o certificado do servidor AC em um sistema com base em CENTOS, FEDORA ou REDHAT, copiar e colar o conteúdo do arquivo no sistema no sistema Como no exemplo anterior em um arquivo chamado /tmp/ca.crt. Então você copiará o certificado para /etc/pki/ca-trust/source/anchors/, então você executará o comando update-ca-trust.

CentOS, Fedora, RedHat Distribuições
  • sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/
  • update-ca-trust

Seu segundo sistema Linux agora confiará em qualquer certificado que tenha sido assinado pelo servidor AC.

Nota: Se você Use o seu AC com servidores da Web e se você usar o navegador Firefox, precisará importar diretamente o certificado ca.crt público no Firefox. O Firefox não usa o armazenamento de certificado de sistema operacional local. Para mais detalhes sobre como adicionar seu certificado de CA ao Firefox, consulte este item da Mozilla na configuração do CA (AC) no Firefox.

Se você usar o seu AC para integrar um ambiente Windows ou computadores desktop. Por favor, consulte a documentação sobre como usar certutil.exe para instalar um certificado de CA.

Se você usa este tutorial como um pré-requisito para outro tutorial, Ou se você sabe assinar e revogar certificados, você pode parar aqui. Se você quiser saber mais sobre como assinar e revogar certificados, a seguinte seção opcional explicará cada processo em detalhes.

(opcional) – Criação de solicitações de assinatura de certificado e revogação de certificados

As seguintes seções do tutorial são opcionais. Se você realizou todas as etapas anteriores, você tem uma autoridade de certificação totalmente configurada e operacional que você pode usar como um pré-requisito para outros tutoriais. Você pode importar o arquivo ca.crt do seu CA e verifique sua rede os certificados que foram assinados pela CA.

Se você quiser treinar e aprender mais sobre como assinar solicitações de certificados e como revogar certificados, essas seções opcionais explicarão como os dois processos funcionam.

(opcional) – Criação e assinatura de uma solicitação de certificado de prática

Agora que você tem um AC pronto para uso, você pode treinar para gerar uma chave privada e uma solicitação de certificado para se familiarizar com o processo de assinatura e distribuição.

Um aplicativo de assinatura de certificado (CSR) consiste em três partes: uma chave pública, credenciais para o sistema de exigência e uma assinatura da própria solicitação, que é criada usando a chave privada da parte solicitante. A chave privada será mantida em segredo e será usada para quantificar as informações que qualquer pessoa com o certificado público assinado pode decifrar.

As etapas a seguir serão executadas no seu segundo sistema Debian Linux, Ubuntu ou uma distribuição derivado de um desses sistemas. Pode ser outro servidor remoto, ou uma máquina local Linux como um laptop ou computador desktop. Como easy-rsa não está disponível por padrão em todos os sistemas, usaremos a ferramenta openssl para criar uma chave privada e um certificado de prática.

é geralmente instalado por padrão na maioria das distribuições do Linux, mas só para ter certeza, execute o seguinte no seu sistema

  • sudo apt update
  • sudo apt install openssl

Quando solicitado a instalar openssl, digite y para continuar as etapas de instalação. Agora você está pronto para criar uma prática de CSR com .

A primeira etapa que você precisa seguir para criar um CSR é a geração de uma chave privada. Para criar uma chave privada usando openssl, crie um diretório “practice-csr” e gerar uma tecla dentro dela. Nós faremos essa consulta para Um servidor fictício chamado sammy-server, em oposição à criação de um certificado usado para identificar um usuário ou outro AC.

  • mkdir ~/practice-csr
  • cd ~/practice-csr
  • openssl genrsa -out sammy-server.key
Output
Generating RSA private key, 2048 bit long modulus (2 primes). . .. . .e is 65537 (0x010001)

Agora que você tem uma chave privada, você pode criar um CSR correspondente, novamente usando o . Você Será convidado a preencher um número de campos como país, estado e cidade. Você pode inserir um . Se você quiser deixar um campo vazio, mas esteja ciente de que, se for um real CSR, é melhor usar os valores corretos de sua localização e sua organização:

  • openssl req -new -key sammy-server.key -out sammy-server.req
Output
. . .-----Country Name (2 letter code) :USState or Province Name (full name) :New YorkLocality Name (eg, city) :New York CityOrganization Name (eg, company) :DigitalOceanOrganizational Unit Name (eg, section) :CommunityCommon Name (eg, your name or your server's hostname) :sammy-serverEmail Address :Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password :An optional company name :

Se você quiser adicionar automati Esses valores como parte do Invocação em vez de através do prompt interativo, você pode passar no argumento -subj para openssl. Certifique-se de alterar os valores realçados para corresponder ao seu local de prática, sua organização e em nome do seu servidor:

  • openssl req -new -key sammy-server.key -out server.req -subj \
  • /C=US/ST=New\ York/L=New\ York\ City/O=DigitalOcean/OU=Community/CN=sammy-server

para verificar o conteúdo de um CSR, você pode jogar em um arquivo de consulta com openssl e examinar os campos dentro

  • openssl req -in sammy-server.req -noout -subject
Output
subject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server

Depois de estar satisfeito com o objeto da solicitação de certificado, copie o arquivo sammy-server.req no seu servidor AC usando scp

Durante esta etapa, você gerou uma solicitação de assinatura de certificado para um servidor fictício chamado sammy-server. Em um cenário real, a solicitação pode vir de um servidor da Web de desenvolvimento ou simulação que precisa de um certificado TLS para testes, ou um servidor OpenVPN que requer um certificado para que os usuários possam se conectar a uma VPN. Durante a próxima etapa, passaremos para a assinatura da solicitação de assinatura do certificado usando a chave privada do servidor AC.

(opcional) – Assinatura de um CSR

no anterior Passo, você criou uma solicitação de certificado de prática e uma chave para um servidor fictício. Você copiou no diretório /tmp do seu servidor AC, emulando o processo que você usaria se você tivesse clientes ou servidores reais enviando solicitações de CSR que devem ser assinadas.

Continuando o cenário fictício, o servidor AC deve agora importar o certificado de prática e assiná-lo.Uma vez que uma solicitação de certificado é validada pelo CA e retransmitindo para um servidor, os clientes que confiam na autoridade de certificação também poderão confiar no certificado recém-emitido.

Como vamos operar. Dentro do ICP do CA Onde o utilitário easy-rsa está disponível, as etapas de assinatura usarão o utilitário easy-rsa para facilitar as coisas, em vez de usar diretamente Como fizemos no exemplo anterior.

A primeira etapa para assinar o CSR fictício é importar a solicitação de certificado usando o script easy-rsa

  • cd ~/easy-rsa
  • ./easyrsa import-req /tmp/sammy-server.req sammy-server
Output
. . .The request has been successfully imported with a short name of: sammy-serverYou may now use this name to perform signing operations on this request.

Agora você pode assinar a solicitação executando o script easyrsa com o sign-req seguido pelo tipo de consulta e o nome comum incluído no CSR. O tipo de consulta pode ser clientserver ou ca. Como treinamos com um certificado para um servidor fictício, certifique-se de usar o tipo de consulta de serveur:

  • ./easyrsa sign-req server sammy-server

Na saída, você será solicitado a verificar se a consulta vem de uma fonte confiável. Digite yes Em seguida, pressione ENTER para confirmar:

Output
You are about to sign the following certificate.Please check over the details shown below for accuracy. Note that this requesthas not been cryptographically verified. Please be sure it came from a trustedsource or that you have verified the request checksum with the sender.Request subject, to be signed as a server certificate for 3650 days:subject= commonName = sammy-serverType the word 'yes' to continue, or any other input to abort. Confirm request details: yes. . .Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt

se Você criptografa sua chave AC, você será solicitado a sua senha neste momento.

Uma vez que estas etapas estiverem concluídas, você assinou o CSR sammy-server.req no uso A chave privada do servidor AC em /home/sammy/easy-rsa/pki/private/ca.key. O arquivo ” contém a chave de criptografia pública do servidor de prática, bem como uma nova assinatura do servidor AC. O objetivo da assinatura é dizer a qualquer pessoa que confia na CA que também pode confiar no certificado do servidor de prática sammy-server

Se esta consulta se relacionar com um servidor real Como um servidor da Web ou um servidor VPN, a última etapa no servidor AC seria distribuir os novos arquivos sammy-server.crt e ca.crt do Servidor AC para o servidor remoto que fez a consulta de CSR:

Neste ponto, você deve ser capaz de usar o certificado emitido com algo como uma web Servidor, uma VPN, uma ferramenta de gerenciamento de configuração, um sistema de banco de dados ou para fins de autenticação do cliente.

(opcional) – Revogação de um certificado

Você pode ter que revogar um certificado para impedir que um usuário ou servidor usá-lo. O laptop de alguém foi roubado, um servidor da Web foi comprometido, ou um funcionário ou empreiteiro deixou sua organização.

Revogar um certificado, o procedimento geral segue as seguintes etapas:

  1. revogar o certificado com o comando ./easyrsa revoke client_name
  2. gerar um novo LRC com o comando ./easyrsa gen-crl
  3. Transferir o arquivo crl.pem Atualizado para o servidor ou servidores que dependem do seu AC e nesses sistemas, copie o arquivo para o (s) diretório (s) necessário (s) para os programas que Consulte-o.
  4. Reinicie todos os serviços que usam sua CA e o arquivo LRC.

Você pode usar este processo para revogar a qualquer momento os certificados que você já emitiu anteriormente . Vamos entrar em detalhes cada passo nas seções a seguir, começando com o comando revoke

revogar um certificado

para revogar um certificado, Navegue até o diretório easy-rsa no seu servidor AC:

  • cd ~/easy-rsa

Em seguida, inicie o script easyrsa com a opção revoke, seguido pelo nome do cliente que você deseja revogar: seguindo o exemplo da prática acima, o nome comum do certificado é sammy-server

  • ./easyrsa revoke sammy-server

Você será solicitado a confirmar a revogação inserindo yes :

Observe o valor destacado na linha Revoking Certificate Este valor é o número de série exclusivo do certificado que está sendo renovado. Se você quiser revisar a lista de revogação na última etapa nesta seção para verificar se o certificado está lá, você precisará desse valor.

Após confirmar a ação, o AC revogará o certificado. No entanto, sistemas remotos que dependem da CA não têm como verificar se os certificados foram revogados.Usuários e servidores sempre poderão usar o certificado até que a lista de certificados Revogados CA (LCR) seja distribuída a todos os sistemas que dependem da AC.

Na próxima etapa, você gerará um LCR ou atualizará um arquivo crl.pem.

Gere uma lista de revogação de certificados

Agora se você revogou um certificado, é importante atualizar a lista de Certificados revogados no seu servidor AC. Depois de atualizar a lista de revocações, você poderá saber quais usuários e quais sistemas têm certificados válidos em sua AC.

Para gerar um LRC, execute o comando easy-rsa com a opção gen-crl enquanto permanece no diretório ~/easy-rsa

  • ./easyrsa gen-crl

Se você usou uma senha ao criar seu arquivo ca.key, você será solicitado a inseri-lo. O comando gen-crl irá gerar um arquivo chamado crl.pem, contendo a lista atualizada de certificados revogados para este AC.

Então você precisará transferir o arquivo crl.pem para todos os servidores e clientes que dependem dessa AC toda vez que você executar o comando gen-crl. Caso contrário, os clientes e sistemas sempre poderão acessar os serviços e sistemas que usam sua CA, pois esses serviços precisam conhecer o status de revogação do certificado.

Transferir uma lista de revogação de certificados

agora que você gerou um LCR no servidor do seu AC, você deve transferi-lo para sistemas remotos que dependem do seu AC. Para transferir este arquivo para seus servidores, você pode usar o comando scp.

Nota: Este tutorial explica como gerar e distribuir manualmente um LCR. Embora existam métodos mais fortes e automatizados para distribuir e verificar listas de revogação, como o OCSP Grampeling, configurando esses métodos excede este item.

Certifique-se. Você está conectado ao seu servidor AC como Usuário não root e execute as seguintes operações, substituindo o nome IP ou DNS do seu próprio servidor em vez de :

Agora que o arquivo está no sistema remoto, a última etapa é atualizar todos os serviços com a nova cópia da lista de revogação.

Atualização de serviços que suportam um LCR

A enumeração das etapas para atualizar os serviços que usam o arquivo crl.pem excede o escopo deste tutorial. Em geral, você precisará copiar o arquivo crl.pem para o local fornecido pelo serviço e reiniciá-lo usando systemctl.

Depois de atualizar seus serviços com o novo arquivo crl.pem, seus serviços poderão rejeitar conexões ou servidores do cliente que usam um certificado revogado.

Revisão e verificação do conteúdo de um LCR

Se você deseja examinar um arquivo CRL, por exemplo, para confirmar uma lista de certificados revogados, use o próximo do seu diretório easy-rsa no seu servidor AC:

  • cd ~/easy-rsa
  • openssl crl -in pki/crl.pem -noout -text

Você também pode executar este comando em qualquer servidor ou sistema que tem a ferramenta openssl instalado com uma cópia do arquivo . Por exemplo, se você transferiu o arquivo crl.pem para o seu segundo sistema e deseja verificar se o certificado de sammy-server é revogado, você pode Use um comando como o seguinte, introduzindo o número de série que você notou anteriormente quando você revogou o certificado em vez de número destacado aqui:

  • openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A
Output
Serial Number: 8348B3F146A765581946040D5C4D590A Revocation Date: Apr 1 20:48:02 2020 GMT

Observe como o comando é usado para verificar o número de série exclusivo que você notou no passo de revogação. Agora você pode verificar o conteúdo da sua lista de revogação de certificado em qualquer sistema que dependa dele para restringir o acesso a usuários e serviços.

Conclusão

Neste tutorial, você criou um privado Autoridade de certificação usando o pacote Easy-RSA em um servidor Debian independente. Você aprendeu como o modelo confiável funciona entre as partes que dependem da autoridade de certificação.Você também criou e assinou um aplicativo de assinatura de certificado (CSR) para um servidor de prática e aprendeu a revogar um certificado. Finalmente, você aprendeu a gerar e distribuir uma lista de revogação de certificado (RCP) para qualquer sistema que depende do seu CA para garantir que os usuários ou servidores que não devem acessar os serviços são impedidos.

Você pode agora Entregue certificados para usuários e use-os com serviços como OpenVPN. Você também pode usar o seu CA para configurar servidores da Web de desenvolvimento e simulação com certificados para proteger seus ambientes de não produção. Usando um AC com certificados TLS durante o desenvolvimento pode ajudar a garantir que seu código e ambientes sejam o máximo possível para o seu ambiente de produção.

Se você quiser saber mais sobre o uso do OpenSSL, visite nossa página Princípios Essencial do OpenSSL : Trabalhar com certificados SSL, chaves privadas e CSRs contém muitas informações adicionais para ajudá-lo a se familiarizar com os princípios fundamentais do OpenSSL. P.>

Leave a comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *