TinyCA kasutamine
Sisukord
- 1 Sissejuhatus
- 2 Tarkvara paigaldamine
- 3 PKI juursertifikaadi loomine
- 4 Sub CA kasutamine
- 5 Veebikoha-sertifikaatide moodustamine
- 6 Veebiserveri sertifikaadi kasutamine
- 7 Sertifikaatide moodustamine OpenVPN jaoks
- 8 Veebiserveeri ja digiallkirjatamise sertifikaatide erinevus
- 9 OpenSSL
- 10 Kasulikud lisamaterjalid
Sissejuhatus
Tarkvara paigaldamine
Tarkvara paigaldamiseks tuleb öelda
# apt-get install tinyca
PKI juursertifikaadi loomine
Juursertifikaadi loomiseks tuleb käivitada programm tinyca2, nt öeldes käsurealt
$ tinyca2
Esmakordsel käivitamisel, st juhtumil kui kasutajal puudub kataloog ~/.TinyCA avaneb graafiline kasutajaliides ning pakutakse juursertifikaadi moodustamise dialoogi
Seejärel tuleb kirjeldada veel sertifikaadi jaoks olulisi parameetreid
Peal CA moodustamist on näha programmiaknas CA andmete kokkuvõte
Sub CA kasutamine
Kui plaan on anda välja erinevaid sertifikaate, muude hulga veebikohtade sertifikaate, siis on hierarhia loogilisem kui moodustada üks vahesertifikaat, nt KLASS3-TLA, mis on antud välja Juur-TLA suhtes ja mille suhtes hakatakse väljastama veebiserverite sertifikaate.
Veebikoha-sertifikaatide moodustamine
Veebikoha sertifikaate moodustatakse KLASS3-TLA sertifikaadi suhtes, kui TinyCA käivitada, siis esmalt küsitakse, millise sertifikaadi suhtes töötama hakatakse, tuleks valida KLASS3-TLA
Seejärel avada Request sakk, all oleval valgel alal hiire parema nupu hüpikmenüüst valida New request ning täita sobivalt vorm
Sertifikaadi tekitmiseks tuleb valida sama Request saki juures hiire parema nupu hüpikmenüüst Sign request -> Server Cert ning järgmises dialoogis valida veebiserveri sertifikaadi kehtimise aeg päevades, ning sisestada KLASS3-TLA privaatvõtme parool
Tulemusena tekib Certificates saki alla tekkinud sertifikaat. Sertifikaadi ning privaatse võtme faili kopeerimiseks tuleb kasutada hiire abi, Export certificate/key ning valida sobiv formaat, näiteks pem
Veebiserveri sertifikaadi kasutamine
TODO
Sertifikaatide moodustamine OpenVPN jaoks
OpenVPN lahenduse jaoks sertifikaatide kasutamisel on abiks uurida OpenVPN tarkvaraga kaasa tuleva easy-rsa CA poolt genereeritud sertifikaate. Tundub, et oluline on jälgida, et OpenVPN serveri poolel kasutatakse serveri sertifikaati ja klientide poolel kliendi sertifikaate, vastav valik tuleb teha sertifikaadi signeerimisel. OpenVPN mõttes CA sertifikaadi (seadistusfaili parameeter ca) suhtes tuleb tekitada nö kõrvuti OpenVPN serveri ja kõigi klientide sertifikaadid (parameetrid cert ja key). Kui OpenVPN CA ei ole PKI ahela tipmine CA, siis tuleb ahela tipuni jäävad sertifikaadid kokku ühendada sellesse OpenVPN CA faili.
Veebiserveeri ja digiallkirjatamise sertifikaatide erinevus
Veebiserveeri ja digiallkirjatamise sertifikaatide erinevus seiseb tehniliselt sellest, et veebiserveri puhul
... X509v3 Extended Key Usage: TLS Web Server Authentication
ja digitempli puhul
X509v3 extensions: X509v3 Key Usage: critical Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment X509v3 Extended Key Usage: TLS Web Client Authentication, E-mail Protection
OpenSSL
- passin parameetriga saab kasutada failist plaintext parool
$ openssl rsa -in ca/ca_key.pem -passin file:ca/private/ca.pass -out /tmp/ca_key-unenc.pem
- kliendi ja serveri sertifikaadi kasutamine
$ openssl s_client -CAfile ca.pem -verify 10 -cert dns.test.kit-cert.pem -key dns.test.kit-key.pem -connect 10.0.9.227:8140
- serveri käivitamine
$ openssl s_server -verify 10 -cert server_crt.pem -key server_key.pem -CAfile ca.pem