一般からアクセス可能なサーバーを実行している場合、認証局(CA)の重要性を知っています。 これらの証明書は、あなたのサイトが実際に主張しているとおりのものであり、データを盗んだり、疑いを持たないユーザーのマシンに小さなペイロードをドロップするのを待っているサイトのなりすましではないことをユーザーに少し保証します。
CAの問題は、特に無料のサービスを実行している管理者、またはCAを購入する予算のない中小企業にとっては、多少費用がかかる可能性があることです。 幸いなことに、TinyCAと呼ばれる使いやすいアプリケーションを使用して、Linuxマシンで無料でCAを作成できるため、CAにお金を払う必要はありません。
特徴
- 必要な数のCAとサブCAを作成します。
- x509 S / MIME証明書の作成と取り消し。
- PKCS#10リクエストはインポートして署名できます。
- サーバーCAとクライアントCAの両方を複数の形式でエクスポートできます。
TinyCAはopensslのユーザーフレンドリーなフロントエンドとして機能するため、CAを作成および管理するために必要なコマンドをすべて発行する必要はありません。
TinyCAのインストール
ディストリビューションのリポジトリにTinyCAが見つかりません。 必要なリポジトリを/etc/apt/sources.listファイルに追加するか、メインページにあるバイナリのいずれかからインストールできます。 インストールの例としてUbuntuとDebianを使用してみましょう。
apt-getを使用してインストールする場合は、最初にリポジトリファイルをsources.listファイルに追加する必要があります。 したがって、お気に入りのエディターで/etc/apt/sources.listファイルを開き、次の行を追加します。
deb //ftp.de.debian.org/debian sid main
注:「sid」を使用しているバージョンに置き換えます。 Ubuntu 9.04を使用している場合、上記の例は機能します。
次のコマンドを実行します。
sudo apt-get update
apt-getがgpgキーがないことについて不平を言うことに気付くでしょう。 コマンドラインを使用してインストールするため、これで問題ありません。 次のコマンドを発行します。
sudo apt-get tinycaをインストールします
これにより、TinyCAが問題なくインストールされます。 いくつかの依存関係をインストールする必要があるかもしれません。
TinyCAを使用する
TinyCAを実行するには、tinyca2コマンドを発行すると、メインウィンドウが開きます。 最初の実行時に、CAの作成ウィンドウが表示されます(図1を参照)。 既にCAがある場合、このウィンドウは自動的には開きません。 このウィンドウで、新しいCAを作成します。
入力しなければならない情報は、あなたのニーズに合わせてかなり明確である必要があります。 情報を入力したら、[OK]をクリックして新しいウィンドウを開きます(図2を参照)。 この新しいウィンドウには、証明書の作成中にSSLに渡される構成が含まれます。 最初のウィンドウと同様に、これらの構成はニーズに固有です。
この情報を入力したら、[OK]ボタンをクリックすると、CAが作成されます。 マシンの速度によっては、プロセスに少し時間がかかる場合があります。 ほとんどの場合、プロセスは30〜60秒以内に完了します。
CAの管理
CAが完了すると、管理ウィンドウに戻ります(図3を参照)。 このウィンドウでは、メインCAのサブCAを作成したり、CAをインポートしたり、CAを開いたり、新しいCAを作成したり、(最も重要な)CAをエクスポートしたりできます。 図3の[エクスポート]ボタンは表示されませんが、ウィンドウの右上にある下矢印をクリックすると、CAをエクスポートするためにクリックできる別のボタンが表示されます。
もちろん、ルート証明書を作成しました。 この証明書は次の場合にのみ使用されます。
- 新しいサブCAを作成します。
- サブCA:sを取り消す
- サブCAを更新します。
- ルートCA:s証明書をエクスポートします
上記以外の場合は、サブCAを作成します。 次の記事では、Webサイトで実際に使用できるSubCAの作成について説明します。
最終的な考え
TinyCAは、認証局の作成と管理から多くの作業を取ります。 複数のWebサイトまたはサーバーを管理する人にとって、このツールは確かに必須です。