Si vous utilisez un type de serveur accessible au public, vous connaissez l’importance des autorités de certification. Ces certificats donnent à vos utilisateurs un peu d'assurance que votre site est en réalité ce qu'il prétend être et non une version falsifiée de votre site en attente de récupérer des données ou de déposer une petite charge utile sur la machine d'un utilisateur non méfiant.
Le problème avec les autorités de certification est qu’elles peuvent être un peu coûteuses, en particulier pour l’administrateur qui exécute un service gratuit, voire pour une petite entreprise sans budget pour l’achat d’AC. Heureusement, vous n'avez pas besoin de débourser de l'argent pour les autorités de certification, car vous pouvez les créer gratuitement sur votre machine Linux avec une application facile à utiliser appelée TinyCA.
Caractéristiques
- Créez autant de CA et de sous-CA que vous en avez besoin.
- Création et révocation de certificats x509 S / MIME.
- Les requêtes PKCS # 10 peuvent être importées et signées.
- Les autorités de certification client et serveur peuvent être exportées dans plusieurs formats.
TinyCA fonctionne comme une interface utilisateur conviviale pour openssl. Vous n'avez donc pas besoin de toutes les commandes nécessaires pour créer et gérer vos autorités de certification.
Installer TinyCA
Vous ne trouverez pas TinyCA dans les dépôts de votre distribution. Vous pouvez soit ajouter le référentiel nécessaire à votre fichier /etc/apt/sources.list, soit installer l'un des fichiers binaires de la page principale. Utilisons Ubuntu et Debian comme exemple d’installation.
Si vous souhaitez installer avec apt-get, vous devez d'abord ajouter le fichier de référentiel à votre fichier sources.list. Ouvrez donc le fichier /etc/apt/sources.list avec votre éditeur préféré et ajoutez la ligne suivante:
deb //ftp.de.debian.org/debian sid main
REMARQUE: remplacez "sid" par la version que vous utilisez. Si vous utilisez Ubuntu 9.04, l'exemple ci-dessus fonctionnera.
Maintenant, lancez la commande:
sudo apt-get update
Vous remarquerez qu'apt-get se plaint de l'absence d'une clé gpg. Ce n'est pas grave, car nous allons installer à l'aide de la ligne de commande. Maintenant, lancez la commande:
sudo apt-get install tinyca
Cela devrait installer TinyCA sans se plaindre. Vous devrez peut-être accepter l'installation de certaines dépendances.
Utiliser TinyCA
Pour exécuter TinyCA, lancez la commande tinyca2 et la fenêtre principale s'ouvrira. Lors de votre première utilisation, vous serez accueilli par la fenêtre Créer une autorité de certification (voir Figure 1). Lorsque vous avez déjà des autorités de certification, cette fenêtre ne s'ouvre pas automatiquement. Dans cette fenêtre, vous allez créer une nouvelle autorité de certification.
Les informations que vous devez entrer doivent être assez évidentes et propres à vos besoins. Après avoir renseigné les informations, cliquez sur OK pour ouvrir une nouvelle fenêtre (voir la figure 2). Cette nouvelle fenêtre contiendra des configurations qui sont passées sur SSL lors de la création du certificat. Comme la première fenêtre, ces configurations seront spécifiques à vos besoins.
Une fois ces informations renseignées, cliquez sur le bouton OK. L’autorité de certification sera créée. En fonction de la vitesse de votre machine, le processus peut prendre un peu de temps. Très probablement, le processus sera terminé dans les 30 à 60 secondes.
Gérer vos CA
Une fois votre autorité de certification terminée, vous revenez à la fenêtre de gestion (voir la figure 3). Dans cette fenêtre, vous pouvez créer des SubCA pour votre autorité de certification principale, vous pouvez importer des autorités de certification, ouvrir des autorités de certification, créer de nouvelles autorités de certification et (plus important encore) en exporter des autorités de certification. Vous ne pouvez pas voir le bouton Exporter dans la figure 3, mais si vous deviez cliquer sur la flèche vers le bas dans la partie supérieure droite de la fenêtre, vous verrez un autre bouton sur lequel vous pourrez cliquer pour exporter une autorité de certification.
Bien sûr, vous venez de créer un certificat racine. Ce certificat ne sera utilisé que pour:
- créer une nouvelle sous-autorité de certification: s
- révoquer les sous-autorités de certification: s
- renouveler les sous-autorités de certification
- exporter le certificat racine-CA: s
Pour toute autre chose que ce qui précède, vous souhaitez créer un SubCA. Nous discuterons de la création d'un SubCA pouvant être utilisé pour votre site Web dans le prochain article.
Dernières pensées
TinyCA simplifie considérablement la création et la gestion des autorités de certification. Pour tous ceux qui gèrent plusieurs sites Web ou serveurs, cet outil est certainement indispensable.
