Создайте свой собственный центр сертификации (CA) в CentOS / RHEL

Центр сертификации (ЦС) выпускает цифровые сертификаты, которые удостоверяют право собственности на открытый ключ названным субъектом сертификата.

Доверенные сертификаты обычно используются для обеспечения безопасных подключений к серверу через Интернет.

Для предотвращения случая, когда злоумышленная сторона, находящаяся на пути к целевому серверу, симулирует из себя цель.

Такой сценарий обычно называют атакой «Man in the Middle».

В общем, люди используют доверенные ЦС в Интернете, такие как VeriSign, но бывают случаи, когда вам нужен собственный CA, например, чтобы добавить дополнительную безопасность в интранет или VPN или, возможно, вы не хотите платить за все это.

Установка openssl

Сначала мы начнем с установки утилиты openssl, если вы используете CentOS / Fedora / RHEL, вы можете сделать это с помощью yum следующим образом:

 # yum install openssl 
Если вы используете Ubuntu / Debian, вы можете использовать apt-get следующим образом:
 #  # apt-get install openssl 

Создание собственного центра сертификации

Чтобы создать собственный СА, вы можете использовать скрипт, который поставляется вместе с пакетом openssl, поэтому сначала перейдите в пустой каталог, а затем запустите скрипт следующим образом:
Для CentOS / Fedora / RHEL
 #  /usr/share/ssl/misc/CA.pl -newca 
Ubuntu / Debian
 # /usr/lib/ssl/misc/CA.pl -newca 

Скрипт проведет вас через все этапы создания вашего нового ЦС.

Полный процесс будет выглядеть примерно так:

Создание сертификатов

Теперь, когда у вас есть собственный центр сертификации (CA), вы можете создавать цифровые сертификаты для серверов в вашей локальной сети, для VPN-клиентов или для любой службы, которую вы должны использовать с SSL.

Это означает, что вам нужно, прежде всего, сделать два шага:

Сначала вам нужно создать закрытый ключ и запрос сертификата:

 # /usr/lib/ssl/misc/CA.pl -newreq 
Вам будут заданы те же вопросы, что и в опции newca, как показано ниже:

Теперь вы можете подписать этот сертификат в своем ЦС, используя следующую команду:

 # /usr/lib/ssl/misc/CA.pl -sign 
Теперь вы можете использовать этот сертификат для любых целей.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *