Центр сертификации (ЦС) выпускает цифровые сертификаты, которые удостоверяют право собственности на открытый ключ названным субъектом сертификата.
Доверенные сертификаты обычно используются для обеспечения безопасных подключений к серверу через Интернет.
Для предотвращения случая, когда злоумышленная сторона, находящаяся на пути к целевому серверу, симулирует из себя цель.
Такой сценарий обычно называют атакой «Man in the Middle».
В общем, люди используют доверенные ЦС в Интернете, такие как VeriSign, но бывают случаи, когда вам нужен собственный CA, например, чтобы добавить дополнительную безопасность в интранет или VPN или, возможно, вы не хотите платить за все это.
Установка openssl
Сначала мы начнем с установки утилиты openssl, если вы используете CentOS / Fedora / RHEL, вы можете сделать это с помощью yum следующим образом:
# yum install openssl
# # apt-get install openssl
Создание собственного центра сертификации
# /usr/share/ssl/misc/CA.pl -newca
# /usr/lib/ssl/misc/CA.pl -newca
Скрипт проведет вас через все этапы создания вашего нового ЦС.
Полный процесс будет выглядеть примерно так:
Создание сертификатов
Теперь, когда у вас есть собственный центр сертификации (CA), вы можете создавать цифровые сертификаты для серверов в вашей локальной сети, для VPN-клиентов или для любой службы, которую вы должны использовать с SSL.
Это означает, что вам нужно, прежде всего, сделать два шага:
Сначала вам нужно создать закрытый ключ и запрос сертификата:
# /usr/lib/ssl/misc/CA.pl -newreq
Теперь вы можете подписать этот сертификат в своем ЦС, используя следующую команду:
# /usr/lib/ssl/misc/CA.pl -sign