DIY: Opret gratis, selvunderskrevne certifikatmyndigheder

En certifikatmyndighed er en enhed, der udsteder digitale certifikater. Disse digitale certifikater bekræfter ejerskabet af en offentlig nøgle tilknyttet en vært, server, klient, dokument med mere. Digitale certifikater er med til at sikre, at brugere har tillid til, at dit indhold faktisk kommer fra en pålidelig, sikker kilde.

Der er forskellige årsager til, at du muligvis har brug for certifikatautoriteter. Uanset om det drejer sig om et sikkert sted, der betjenes af Apache eller til LibreOffices digitale signering af dokumenter, skal du være i stand til at drage fordel af denne sikkerhedsfunktion uden at skulle droppe din afdelings hele budget for certifikaterne. Heldigvis er der måder at oprette selvsignerede certifikater på, så du ikke behøver at bruge dyrebare dollars, der skal bruges til vigtigere projekter.

Hvis du har de rigtige værktøjer, er det forholdsvis simpelt at oprette certifikatautoriteter. Jeg viser tre måder at oprette selvsignerede certifikatautoriteter på: via kommandolinjen, en GUI eller en webbaseret service.

Kommandolinje

Vi bruger OpenSSL til at oprette certifikatautoriteter fra kommandolinjen. Din Linux-distribution burde allerede have dette værktøj installeret, men hvis det ikke gør det, skal du åbne dit Tilføj / fjern software-værktøj, søge efter openssl og installere. Hvis du er på en Windows-maskine, så tjek denne side for information om installation af OpenSSL.

Inden for OpenSSL er der et par scripts, der kan bruges til let at oprette certifikatautoriteter. Et af scripterne kaldes CA.pl og vil sandsynligvis findes i / usr / lib / ssl / misc / (til din Windows-installation skal du søge efter CA.pl-scriptet for at finde dets placering). Du har brug for administratorrettigheder for at køre scriptet (det kan køres ved hjælp af sudo). Du ønsker at oprette private certifikatautoriteter såvel som certifikater.

Oprettelse af en privat certifikatmyndighed
  1. Åbn et terminalvindue.
  2. Skift til / usr / lib / ssl / misc.
  3. Udsted kommandoen sudo ./CA.pl -newca .
  4. Tryk på Enter, når du bliver bedt om at få navnet på Certificate Authority.
  5. Besvar spørgsmålene, som de gælder for dine behov.
Oprettelse af et certifikat
  1. Åbn et terminalvindue.
  2. Skift til / usr / lib / ssl / misc.
  3. Udsted kommandoen sudo ./CA.pl -newreq .
  4. Besvar spørgsmålene, som de gælder for dine behov.

I det bibliotek skal du have .pem-filer, der skal underskrives. Følg disse trin for at underskrive filerne:

  1. Åbn et terminalvindue.
  2. Skift til / usr / lib / ssl / misc.
  3. Udsted kommandoen sudo ./CA.pl -tegn .
  4. Indtast adgangskoden til pem.

Du skal have en selvsigneret certificeringsautoritet kaldet newcert.pem. Hvis du planlægger at oprette nye certifikater, skal du omdøbe denne Certificate Authority, så det ikke overskrives.

GUI

Den grafiske frontend, som jeg foretrækker at bruge til denne opgave, er TinyCA. Du kan installere dette værktøj fra din distributions standardlager. Når det er installeret, kan værktøjet køres ved at udstede kommandoen tinyca2 .

Når du kører applikationen, indeholder den ikke nogen certifikater. Du skal oprette en Certificate Authority ved at klikke på CA og gå til New CA. Dette åbner et nyt vindue ( figur A ); skal du udfylde de nødvendige oplysninger i vinduet og klikke på OK. Figur A

Når du har oprettet Certificate Authority, kan du oprette certifikater, der skal underskrives.
Når certificeringsautoriteten er oprettet, skal du klikke på tasten Key / Certificate + (det er det femte ikon fra højre på ikonværktøjslinjen) og vælge enten Opret nøgle og certifikat (server) eller Opret nøgle og certifikat (klient). Dette åbner et nyt vindue ( figur B ), hvor du udfylder oplysninger for at oprette certifikatet. Figur B

Sørg for at vide, hvilken fordøjelse og algoritme du har brug for til dit specifikke certifikat.

Når du har oprettet Certificate Authority og certifikaterne, skal du kigge i mappen ~ / .TinyCA, og du vil se en undermappe med samme navn som din Certificate Authority. I den mappe vil du se dine .pem- og dine .key-filer.

Webbaseret

CAcert er en enestående webbaseret service, hvor du kan oprette selvunderskrevne certifikatmyndigheder gratis. Når du har tilmeldt dig tjenesten, vil du automatisk have et certifikat tilgængeligt til download. Du kan oprette følgende:

  • E-mail-konti
  • Klientcertifikater
  • domæner
  • Servercertifikater
  • CAcert Web of Trust
For at oprette disse skal du logge ind på din konto og derefter vælge, hvad du vil oprette fra den højre nav-rude på din konto ( figur C ). Dette er sandsynligvis den enkleste metode til Certificate Authority-galskab (uden for at betale en service for at håndtere hele opgaven for dig). Fig

Sørg for, at du har udfyldt alle dine oplysninger korrekt, før du begynder at oprette / udstede certifikater. Du kan også beslutte, om du vil have din katalogfortegnelse skjult eller offentlig fra Mine detaljer | Oversigt over oversigter.
Hvis du planlægger at oprette et servercertifikat, skal du først tilføje domænet. Du kan dog oprette et klientcertifikat uden at tilføje et domæne. For at oprette klientcertifikatet skal du klikke på det nye link under Klientcertifikater og derefter vælge det, du vil have, blandt de mulige valg ( figur D ).

Figur D

Når certifikatet er oprettet, får du vist et link, der automatisk installerer certifikatet i din browser.

Konklusion

Disse tre metoder illustrerer, hvor let det er at oprette selv underskrevne certifikatmyndigheder. Der er en række muligheder for oprettelse af certifikatautoriteter, og den sti, du vælger, kan variere fra opgave til opgave.

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com