Certifikační autorita (CA) vydává digitální certifikáty, které osvědčují vlastnictví veřejného klíče pojmenovaného subjektu certifikátu. Důvěryhodné certifikáty se obvykle používají k vytvoření zabezpečeného připojení k serveru přes internet. Certifikát je vyžadován, aby se zabránilo případu, že by se za cíl vydávala zákeřná strana, která je náhodou na cestě k cílovému serveru. Takový scénář se běžně nazývá útok typu man-in-the-middle.
Obecně lidé na internetu používají důvěryhodné certifikační autority, jako je VeriSign, ale existují případy, kdy potřebujete vlastní certifikační autoritu, chcete-li přidat další zabezpečení intranetu nebo VPN, nebo za něj možná nechcete platit.
Instalovat openssl
Nejprve začneme instalací utility openssl, pokud používáte CentOS / Fedora / RHEL, můžete to udělat pomocí yum takto:
# yum install opensslPokud používáte Ubuntu / Debian, můžete použít apt-get takto:
# apt-get install opensslVytvoření vlastního CA
Chcete-li vytvořit vlastní CA, můžete použít skript, který je součástí balíčku openssl, nejprve přejděte do prázdného adresáře a poté skript spusťte takto:
Pro CentOS / Fedora / RHEL
# /usr/share/ssl/misc/CA.pl -newcaUbuntu / Debian
# /usr/lib/ssl/misc/CA.pl -newcaSkript vás provede všemi kroky vytváření vaší nové CA, nezáleží na tom, co zadáte do polí, a všechny položky jsou samozřejmé.
Celý proces bude vypadat nějak takto:
Vytváření certifikátů
Nyní, když máte vlastní certifikační autoritu (CA), můžete vytvářet digitální certifikáty pro servery ve vaší síti LAN, pro klienty VPN nebo pro jakoukoli službu, kterou potřebujete používat s SSL. To znamená, že musíte udělat dva kroky:
Nejprve budete muset vytvořit soukromý klíč a žádost o certifikát:
# /usr/lib/ssl/misc/CA.pl -newreqBudou vám položeny stejné otázky jako v možnosti newca, jak je uvedeno níže:
Nyní můžete tento certifikát podepsat svou CA pomocí následujícího příkazu:
# /usr/lib/ssl/misc/CA.pl -sign
Nyní můžete tento certifikát použít pro jakýkoli účel.