TinyCA kasutamine

Allikas: Kuutõrvaja

Sissejuhatus

Tarkvara paigaldamine

Tarkvara paigaldamiseks tuleb öelda

 # apt-get install tinyca

PKI juursertifikaadi loomine

Juursertifikaadi loomiseks tuleb käivitada programm tinyca2, nt öeldes käsurealt

 $ tinyca2

Esmakordsel käivitamisel, st juhtumil kui kasutajal puudub kataloog ~/.TinyCA avaneb graafiline kasutajaliides ning pakutakse juursertifikaadi moodustamise dialoogi

Tinyca2-juurca.gif

Seejärel tuleb kirjeldada veel sertifikaadi jaoks olulisi parameetreid

Tinyca2-juurca-2.gif

Peal CA moodustamist on näha programmiaknas CA andmete kokkuvõte

Tinyca2-juurca-3.gif

Sub CA kasutamine

Kui plaan on anda välja erinevaid sertifikaate, muude hulga veebikohtade sertifikaate, siis on hierarhia loogilisem kui moodustada üks vahesertifikaat, nt KLASS3-TLA, mis on antud välja Juur-TLA suhtes ja mille suhtes hakatakse väljastama veebiserverite sertifikaate.

Tinyca2-subca.gif

Veebikoha-sertifikaatide moodustamine

Veebikoha sertifikaate moodustatakse KLASS3-TLA sertifikaadi suhtes, kui TinyCA käivitada, siis esmalt küsitakse, millise sertifikaadi suhtes töötama hakatakse, tuleks valida KLASS3-TLA

Tinyca2-2.gif

Seejärel avada Request sakk, all oleval valgel alal hiire parema nupu hüpikmenüüst valida New request ning täita sobivalt vorm

Tinyca2-veebiserver-1.gif

Sertifikaadi tekitmiseks tuleb valida sama Request saki juures hiire parema nupu hüpikmenüüst Sign request -> Server Cert ning järgmises dialoogis valida veebiserveri sertifikaadi kehtimise aeg päevades, ning sisestada KLASS3-TLA privaatvõtme parool

Tinyca2-veebiserver-2.gif

Tulemusena tekib Certificates saki alla tekkinud sertifikaat. Sertifikaadi ning privaatse võtme faili kopeerimiseks tuleb kasutada hiire abi, Export certificate/key ning valida sobiv formaat, näiteks pem

Tinyca2-veebiserver-3.gif

Veebiserveri sertifikaadi kasutamine

TODO

Sertifikaatide moodustamine OpenVPN jaoks

OpenVPN lahenduse jaoks sertifikaatide kasutamisel on abiks uurida OpenVPN tarkvaraga kaasa tuleva easy-rsa CA poolt genereeritud sertifikaate. Tundub, et oluline on jälgida, et OpenVPN serveri poolel kasutatakse serveri sertifikaati ja klientide poolel kliendi sertifikaate, vastav valik tuleb teha sertifikaadi signeerimisel. OpenVPN mõttes CA sertifikaadi (seadistusfaili parameeter ca) suhtes tuleb tekitada nö kõrvuti OpenVPN serveri ja kõigi klientide sertifikaadid (parameetrid cert ja key). Kui OpenVPN CA ei ole PKI ahela tipmine CA, siis tuleb ahela tipuni jäävad sertifikaadid kokku ühendada sellesse OpenVPN CA faili.

Veebiserveeri ja digiallkirjatamise sertifikaatide erinevus

Veebiserveeri ja digiallkirjatamise sertifikaatide erinevus seiseb tehniliselt sellest, et veebiserveri puhul

 ...
 X509v3 Extended Key Usage: 
   TLS Web Server Authentication

ja digitempli puhul

 X509v3 extensions:
    X509v3 Key Usage: critical
        Digital Signature, Non Repudiation, Key Encipherment, Data Encipherment
    X509v3 Extended Key Usage: 
        TLS Web Client Authentication, E-mail Protection

OpenSSL

  • passin parameetriga saab kasutada failist plaintext parool
$ openssl rsa -in ca/ca_key.pem -passin file:ca/private/ca.pass -out /tmp/ca_key-unenc.pem
  • kliendi ja serveri sertifikaadi kasutamine
$ openssl s_client -CAfile ca.pem -verify 10 -cert dns.test.kit-cert.pem -key dns.test.kit-key.pem -connect 10.0.9.227:8140
  • serveri käivitamine
$ openssl s_server -verify 10 -cert server_crt.pem -key server_key.pem -CAfile ca.pem

Kasulikud lisamaterjalid