序章

認証局(CA)は、インターネット上のIDを検証するためのデジタル証明書の発行を担当するエンティティです。 パブリックCAは、一般の人々に提供されるWebサイトやその他のサービスのIDを確認するための一般的な選択肢ですが、プライベートCAは通常、クローズドグループやプライベートサービスに使用されます。

プライベート認証局を構築すると、クライアントとサーバー間の暗号化された接続を必要とするプログラムを構成、テスト、および実行できるようになります。 プライベートCAを使用すると、インフラストラクチャ内のユーザー、サーバー、または個々のプログラムとサービスの証明書を発行できます。

独自のプライベートCAを使用するLinux上のプログラムの例としては、OpenVPNおよびPuppetがあります。 開発環境とステージング環境をTLSを使用して接続を暗号化する実稼働サーバーと一致させるために、プライベートCAによって発行された証明書を使用するようにWebサーバーを構成することもできます。

このガイドでは、CentOS 8サーバーにプライベート認証局を設定する方法と、新しいCAを使用してテスト証明書を生成して署名する方法を学習します。 また、CAサーバーの公開証明書をオペレーティングシステムの証明書ストアにインポートして、CAとリモートサーバーまたはユーザー間の信頼の鎖を確認する方法についても学習します。 最後に、証明書を失効させ、証明書失効リストを配布して、許可されたユーザーとシステムのみがCAに依存するサービスを使用できるようにする方法を学習します。

前提条件

このチュートリアルに従うには、CentOS8サーバーと sudo 有効な、root以外のユーザー、およびファイアウォールが設定されている firewalld. CentOS 8 を使用したサーバーの初期セットアップガイドに従って、セットアップを完了することができます。

このチュートリアルでは、このサーバーをCAサーバーと呼びます。

CAServerがスタンドアロンシステムであることを確認します。 これは、証明書要求のインポート、署名、および取り消しにのみ使用されます。 他のサービスを実行しないでください。理想的には、CAをアクティブに操作していないときは、オフラインになるか、完全にシャットダウンされます。

注:証明書の署名と取り消しについて学習したい場合、このチュートリアルの最後のセクションはオプションです。 これらの練習手順を完了することを選択した場合は、2台目のCentOS 8サーバーが必要になります。または、CentOS 8、Fedora、またはRedHat派生物を実行している独自のローカルLinuxコンピューターを使用することもできます。

ステップ1—Easy-RSAのインストール

このチュートリアルの最初のタスクは、 easy-rsa CAサーバ上の一連のスクリプト。 easy-rsa は、秘密鍵と公開ルート証明書を生成するために使用する認証局管理ツールであり、CAに依存するクライアントとサーバーからの要求に署名するために使用します。

The easy-rsa パッケージはCentOS8ではデフォルトで使用できないため、Enterprise Linux(EPEL)リポジトリ用の追加パッケージを有効にする必要があります。 EPELはFedoraプロジェクトによって管理されており、RPMパッケージ形式を使用するFedora、CentOS、およびその他のLinuxディストリビューション用の非標準ですが人気のあるパッケージが含まれています。 初期設定手順で作成したroot以外のsudoユーザとしてCAServerにログインし、以下を実行します。

  1. sudo dnf install epel-release

パッケージをダウンロードしてインストールするように求められます。 プレス y パッケージをインストールすることを確認します。

今すぐインストールします easy-rsa パッケージ、再び入ります y プロンプトで:

  1. sudo dnf install easy-rsa

この時点で、必要なものがすべてセットアップされ、Easy-RSAを使用する準備が整いました。 次のステップでは、公開鍵インフラストラクチャを作成してから、認証局の構築を開始します。

ステップ2—公開鍵インフラストラクチャディレクトリの準備

インストールしたので easy-rsa、CAサーバー上にスケルトン公開鍵インフラストラクチャ(PKI)を作成するときが来ました。 root以外のユーザーとしてログインしていることを確認し、 easy-rsa ディレクトリ。 通常のユーザーは昇格された特権なしでCAを管理および操作する必要があるため、sudoを使用して次のコマンドを実行しないでください。

  1. mkdir ~/easy-rsa

これにより、という新しいディレクトリが作成されます easy-rsa ホームフォルダにあります。 このディレクトリを使用して、 easy-rsa 前の手順でインストールしたパッケージファイル。 これらのファイルはにあります /usr/share/easy-rsa/3 CAサーバのフォルダ。

でシンボリックリンクを作成します ln 指図:

  1. ln -s /usr/share/easy-rsa/3/* ~/easy-rsa/

注:他のガイドがあなたにコピーするように指示するかもしれませんが easy-rsa ファイルをPKIディレクトリにパッケージ化する場合、このチュートリアルではシンボリックリンクアプローチを採用しています。 その結果、 easy-rsa パッケージは、PKIのスクリプトに自動的に反映されます。

新しいPKIディレクトリへのアクセスを制限するには、所有者のみがを使用してアクセスできるようにします。 chmod 指図:

  1. chmod 700 /home/sammy/easy-rsa

最後に、内部のPKIを初期化します easy-rsa ディレクトリ:

  1. cd ~/easy-rsa
  2. ./easyrsa init-pki
Output
init-pki complete; you may now create a CA or requests. Your newly created PKI dir is: /home/sammy/easy-rsa/pki

このセクションを完了すると、認証局の作成に必要なすべてのファイルを含むディレクトリが作成されます。 次のセクションでは、CAの秘密鍵と公開証明書を作成します。

ステップ3—認証局を作成する

CAの秘密鍵と証明書を作成する前に、次のファイルを作成してデータを入力する必要があります。 vars いくつかのデフォルト値があります。 まず、 cdeasy-rsa ディレクトリ、次に作成して編集します vars とファイル nano またはお好みのテキストエディタ。

CentOS8に付属するデフォルトのテキストエディタは vi. vi は非常に強力なテキストエディタですが、経験が不足しているユーザーにとってはやや鈍感になる可能性があります。 次のようなよりユーザーフレンドリーなエディタをインストールすることをお勧めします nano CentOS8サーバー上の構成ファイルの編集を容易にするために:

  1. sudo dnf install nano

インストールを求められたら nano 入力 y インストール手順を続行します。 これで、編集する準備ができました vars ファイル:

  1. cd ~/easy-rsa
  2. nano vars

ファイルを開いたら、次の行を貼り付け、強調表示された各値を編集して、独自の組織情報を反映させます。 ここで重要なのは、値を空白のままにしないようにすることです。

~/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY "US" set_var EASYRSA_REQ_PROVINCE "NewYork" set_var EASYRSA_REQ_CITY "New York City" set_var EASYRSA_REQ_ORG "DigitalOcean" set_var EASYRSA_REQ_EMAIL "[email protected]" set_var EASYRSA_REQ_OU "Community" set_var EASYRSA_ALGO "ec" set_var EASYRSA_DIGEST "sha512"

終了したら、ファイルを保存して閉じます。 使用している場合 nano、を押すことでそうすることができます CTRL+X、 それから YENTER 確認するために。 これで、CAを構築する準備が整いました。

認証局のルート公開鍵と秘密鍵のペアを作成するには、 ./easy-rsa もう一度コマンドを実行します。 build-ca オプション:

  1. ./easyrsa build-ca

出力には、OpenSSLバージョンに関するいくつかの行が表示され、キーペアのパスフレーズを入力するように求められます。 必ず強力なパスフレーズを選択し、安全な場所に書き留めてください。 証明書に署名したり取り消したりするなど、CAとやり取りする必要があるときはいつでも、パスフレーズを入力する必要があります。

また、CAの共通名(CN)を確認するように求められます。 CNは、認証局のコンテキストでこのマシンを参照するために使用される名前です。 CAの共通名には任意の文字列を入力できますが、簡単にするために、Enterキーを押してデフォルト名を受け入れます。

Output
. . . Enter New CA Key Passphrase: Re-Enter New CA Key Passphrase: . . . Common Name (eg: your user, host, or server name) [Easy-RSA CA]: CA creation complete and you may now import and sign cert requests. Your new CA certificate file for publishing is at: /home/sammy/easy-rsa/pki/ca.crt

注: CAとやり取りするたびにパスワードの入力を求められたくない場合は、次のコマンドを実行できます。 build-ca とのコマンド nopass このようなオプション:

  1. ./easyrsa build-ca nopass

これで、2つの重要なファイルができました— ~/easy-rsa/pki/ca.crt~/easy-rsa/pki/private/ca.key —認証局のパブリックコンポーネントとプライベートコンポーネントを構成します。

  • ca.crt CAの公開証明書ファイルです。 ユーザー、サーバー、およびクライアントは、この証明書を使用して、それらが同じ信頼のWebの一部であることを確認します。 CAを使用するすべてのユーザーとサーバーは、このファイルのコピーを持っている必要があります。 すべての関係者は、誰かがシステムになりすまして中間者攻撃を実行していないことを確認するために、公開証明書に依存します。

  • ca.key CAがサーバーとクライアントの証明書に署名するために使用する秘密鍵です。 攻撃者があなたのCAにアクセスし、次にあなたのCAにアクセスした場合 ca.key ファイル、あなたはあなたのCAを破壊する必要があります。 これがあなたの ca.key ファイルはのみがCAマシン上にある必要があり、理想的には、追加のセキュリティ対策として証明書要求に署名しない場合は、CAマシンをオフラインに保つ必要があります。

これで、CAが配置され、証明書要求に署名したり、証明書を失効させたりするために使用できるようになります。

ステップ4—認証局の公開証明書を配布する

これで、CAが構成され、それを使用するように構成するシステムの信頼のルートとして機能する準備が整いました。 CAの証明書をOpenVPNサーバー、Webサーバー、メールサーバーなどに追加できます。 ネットワーク内の別のユーザーまたはサーバーのIDを確認する必要があるユーザーまたはサーバーには、 ca.crt オペレーティングシステムの証明書ストアにインポートされたファイル。

CAの公開証明書を別のサーバーやローカルコンピューターなどの2番目のLinuxシステムにインポートするには、最初に ca.crt CAサーバーからのファイル。 あなたは使用することができます cat コマンドを使用して端末に出力し、証明書をインポートしている2番目のコンピューター上のファイルにコピーして貼り付けます。 次のようなツールも使用できます scp, rsync システム間でファイルを転送します。 ただし、コピーアンドペーストを使用します nano すべてのシステムで機能するため、このステップで。

CA Serverのroot以外のユーザとして、次のコマンドを実行します。

  1. cat ~/easy-rsa/pki/ca.crt

次のような出力が端末に表示されます。

Output
-----BEGIN CERTIFICATE----- MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQEL BQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw . . . . . . -----END CERTIFICATE-----

を含むすべてをコピーします -----BEGIN CERTIFICATE----------END CERTIFICATE----- 線とダッシュ。

2番目のLinuxシステムでの使用 nano または、というファイルを開くための好みのテキストエディタ /tmp/ca.crt:

  1. nano /tmp/ca.crt

CAServerからコピーした内容をエディタに貼り付けます。 終了したら、ファイルを保存して閉じます。 使用している場合 nano、を押すことでそうすることができます CTRL+X、 それから YENTER 確認するために。

これで、 ca.crt 2番目のLinuxシステムでファイルを作成したら、オペレーティングシステムの証明書ストアに証明書をインポートします。

CentOS、Fedora、またはその他のRedHat派生Linuxシステムでは、次のコマンドを実行して証明書をインポートします。

CentOS、Fedora、RedHatディストリビューション
  1. sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/
  2. update-ca-trust

DebianまたはUbuntuベースのシステムにCAServerの証明書をインポートするには、前の例と同じように、ファイルの内容をコピーしてシステムに貼り付けます。 /tmp/ca.crt. 次に、証明書をにコピーします /usr/local/share/ca-certificates/、次に実行します update-ca-certificates 指図。

DebianおよびUbuntuから派生したディストリビューション
  1. sudo cp /tmp/ca.crt /usr/local/share/ca-certificates/
  2. update-ca-certificates

これで、2番目のLinuxシステムは、CAサーバーによって署名されたすべての証明書を信頼します。

注: WebサーバーでCAを使用していて、ブラウザーとしてFirefoxを使用している場合は、パブリックをインポートする必要があります ca.crt Firefoxに直接証明書を送信します。 Firefoxはローカルオペレーティングシステムの証明書ストアを使用しません。 CAの証明書をFirefoxに追加する方法の詳細については、 Firefoxでの認証局(CA)の設定に関するMozillaのこのサポート記事を参照してください。

CAを使用してWindows環境またはデスクトップコンピューターと統合している場合は、使用方法に関するドキュメントを参照してください。 certutil.exe CA証明書をインストールします

このチュートリアルを別のチュートリアルの前提条件として使用している場合、または証明書に署名して取り消す方法に精通している場合は、ここで停止できます。 証明書に署名して取り消す方法について詳しく知りたい場合は、次のオプションのセクションで各プロセスについて詳しく説明します。

(オプション)—証明書署名要求の作成と証明書の取り消し

チュートリアルの次のセクションはオプションです。 これまでのすべての手順を完了した場合は、他のチュートリアルの前提条件として使用できる、完全に構成され機能している認証局があります。 CAをインポートできます ca.crt CAによって署名されたネットワーク内の証明書をファイルして検証します。

証明書要求に署名する方法、および証明書を取り消す方法について練習し、詳細を知りたい場合は、これらのオプションのセクションで、両方のプロセスがどのように機能するかを説明します。

(オプション)—実践証明書リクエストの作成と署名

CAを使用する準備ができたので、秘密鍵と証明書の要求の生成を練習して、署名と配布のプロセスに慣れることができます。

証明書署名要求(CSR)は、要求システムに関する識別情報である公開鍵と、要求側の秘密鍵を使用して作成された要求自体の署名の3つの部分で構成されます。 秘密鍵は秘密にされ、署名された公開証明書を持っている人なら誰でも復号化できる情報を暗号化するために使用されます。

次の手順は、CentOS、Fedora、または別のRedHat派生Linuxディストリビューションを実行している2番目のLinuxシステムで実行されます。 別のリモートサーバー、またはラップトップやデスクトップコンピューターなどのローカルLinuxマシンの場合があります。 以来 easy-rsa すべてのシステムでデフォルトで使用できるわけではありません。 openssl 練習用の秘密鍵と証明書を作成するためのツール。

openssl 通常、ほとんどのLinuxディストリビューションにはデフォルトでインストールされますが、念のため、システムで次のコマンドを実行します。

  1. sudo dnf install openssl

インストールを求められたら openssl 入力 y インストール手順を続行します。 これで、実践的なCSRを作成する準備が整いました。 openssl.

CSRを作成するために完了する必要がある最初のステップは、秘密鍵を生成することです。 を使用して秘密鍵を作成するには openssl、作成する practice-csr ディレクトリを作成し、その中にキーを生成します。 と呼ばれる架空のサーバーに対してこのリクエストを行います sammy-server、ユーザーまたは別のCAを識別するために使用される証明書を作成するのとは対照的です。

  1. mkdir ~/practice-csr
  2. cd ~/practice-csr
  3. openssl genrsa -out sammy-server.key
Output
Generating RSA private key, 2048 bit long modulus (2 primes) . . . . . . e is 65537 (0x010001)

秘密鍵ができたので、これも対応するCSRを作成できます。 openssl 効用。 国、州、市などのいくつかのフィールドに入力するように求められます。 あなたは入力することができます . フィールドを空白のままにしたいが、これが実際のCSRである場合は、場所と組織に正しい値を使用するのが最善であることに注意してください。

  1. openssl req -new -key sammy-server.key -out sammy-server.req
Output
. . . ----- Country Name (2 letter code) [XX]:US State or Province Name (full name) []:New York Locality Name (eg, city) [Default City]:New York City Organization Name (eg, company) [Default Company Ltd]:DigitalOcean Organizational Unit Name (eg, section) []:Community Common Name (eg, your name or your server's hostname) []:sammy-server Email Address []: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:

これらの値をの一部として自動的に追加したい場合 openssl インタラクティブプロンプトを介する代わりに、呼び出しを渡すことができます -subj OpenSSLへの引数。 練習場所、組織、サーバー名に一致するように、強調表示された値を必ず編集してください。

  1. openssl req -new -key sammy-server.key -out sammy-server.req -subj \
  2. /C=US/ST=New\ York/L=New\ York\ City/O=DigitalOcean/OU=Community/CN=sammy-server

CSRの内容を確認するには、リクエストファイルを次のように読み込むことができます。 openssl 内部のフィールドを調べます。

  1. openssl req -in sammy-server.req -noout -subject
Output
subject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server

練習証明書のリクエストの件名に満足したら、 sammy-server.req を使用してCAサーバーにファイルする scp:

  1. scp sammy-server.req sammy@your_ca_server_ip:/tmp/sammy-server.req

このステップでは、架空のサーバーの証明書署名要求を生成しました。 sammy-server. 実際のシナリオでは、要求は、テスト用にTLS証明書を必要とするステージングまたは開発Webサーバーのようなものからのものである可能性があります。 または、ユーザーがVPNに接続できるように証明書を要求しているOpenVPNサーバーから取得することもできます。 次のステップでは、CAServerの秘密鍵を使用して証明書署名要求に署名します。

(オプション)—CSRへの署名

前の手順では、架空のサーバーの練習証明書リクエストとキーを作成しました。 あなたはそれをにコピーしました /tmp CAサーバー上のディレクトリ。署名が必要なCSR要求を送信する実際のクライアントまたはサーバーがある場合に使用するプロセスをエミュレートします。

架空のシナリオを続けると、CAServerは練習証明書をインポートして署名する必要があります。 証明書要求がCAによって検証され、サーバーに中継されると、認証局を信頼するクライアントは、新しく発行された証明書も信頼できるようになります。

CAのPKI内で運用するため、 easy-rsa ユーティリティが利用可能である場合、署名手順では easy-rsa を使用するのではなく、物事を簡単にするユーティリティ openssl 前の例で行ったように直接。

架空のCSRに署名するための最初のステップは、 easy-rsa 脚本:

  1. cd ~/easy-rsa
  2. ./easyrsa import-req /tmp/sammy-server.req sammy-server
Output
. . . The request has been successfully imported with a short name of: sammy-server You may now use this name to perform signing operations on this request.

これで、を実行してリクエストに署名できます easyrsa スクリプトと sign-req オプションの後に、CSRに含まれる要求タイプと共通名が続きます。 リクエストタイプは、次のいずれかになります。 client, server、 また ca. 架空のサーバーの証明書を使用して練習しているため、必ず server リクエストの種類:

  1. ./easyrsa sign-req server sammy-server

出力では、リクエストが信頼できるソースからのものであることを確認するように求められます。 タイプ yes 次にを押します ENTER これを確認するには:

Output
You are about to sign the following certificate. Please check over the details shown below for accuracy. Note that this request has not been cryptographically verified. Please be sure it came from a trusted source or that you have verified the request checksum with the sender. Request subject, to be signed as a server certificate for 3650 days: subject= commonName = sammy-server Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes . . . Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt

CAキーを暗号化した場合は、この時点でパスワードの入力を求められます。

これらの手順が完了すると、 sammy-server.req でCAサーバーの秘密鍵を使用するCSR /home/sammy/easy-rsa/pki/private/ca.key. 結果として sammy-server.crt ファイルには、練習用サーバーの公開暗号化キーと、CAサーバーからの新しい署名が含まれています。 署名のポイントは、CAを信頼するすべての人に、CAも信頼できることを伝えることです。 sammy-server 証明書。

この要求がWebサーバやVPNサーバなどの実サーバに対するものである場合、CAサーバの最後のステップは新しいものを配布することです。 sammy-server.crtca.crt CAサーバーからCSR要求を行ったリモートサーバーへのファイル:

  1. scp pki/issued/sammy-server.crt sammy@your_server_ip:/tmp
  2. scp pki/ca.crt sammy@your_server_ip:/tmp

この時点で、発行された証明書をWebサーバー、VPN、構成管理ツール、データベースシステムなどで使用したり、クライアント認証の目的で使用したりできるようになります。

(オプション)—証明書の取り消し

場合によっては、ユーザーまたはサーバーが証明書を使用できないようにするために、証明書を取り消す必要があります。 誰かのラップトップが盗まれたか、Webサーバーが侵害されたか、従業員または請負業者が組織を去った可能性があります。

証明書を取り消すには、一般的なプロセスは次の手順に従います。

  1. で証明書を取り消します ./easyrsa revoke client_name 指図。
  2. を使用して新しいCRLを生成します ./easyrsa gen-crl 指図。
  3. 更新されたものを転送する crl.pem CAに依存する1つまたは複数のサーバーにファイルを送信し、それらのシステムで、それを参照するプログラムに必要な1つまたは複数のディレクトリにファイルをコピーします。
  4. CAとCRLファイルを使用するすべてのサービスを再起動します。

このプロセスを使用して、以前に発行した証明書をいつでも取り消すことができます。 次のセクションでは、各ステップについて詳しく説明します。 revoke 指図。

証明書の取り消し

証明書を取り消すには、に移動します easy-rsa CAサーバー上のディレクトリ:

  1. cd ~/easy-rsa

次に、を実行します easyrsa スクリプトと revoke オプションの後に、取り消すクライアント名が続きます。 上記の実践例に従うと、証明書の一般名は次のようになります。 sammy-server:

  1. ./easyrsa revoke sammy-server

これにより、次のように入力して失効を確認するように求められます yes:

Output
Please confirm you wish to revoke the certificate with the following subject: subject= commonName = sammy-server Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes . . . Revoking Certificate 8348B3F146A765581946040D5C4D590A . . .

で強調表示されている値に注意してください Revoking Certificate ライン。 この値は、取り消されている証明書の一意のシリアル番号です。 このセクションの最後のステップで失効リストを調べて、証明書が含まれていることを確認する場合は、この値が必要になります。

アクションを確認した後、CAは証明書を取り消します。 ただし、CAに依存するリモートシステムには、証明書が取り消されているかどうかを確認する方法がありません。 ユーザーとサーバーは、CAの証明書失効リスト(CRL)がCAに依存するすべてのシステムに配布されるまで、引き続き証明書を使用できます。

次のステップでは、CRLを生成するか、既存の crl.pem ファイル。

証明書失効リストの生成

証明書を取り消すことができたので、CAサーバで取り消された証明書のリストを更新することが重要です。 失効リストを更新すると、CAに有効な証明書を持っているユーザーとシステムを確認できます。

CRLを生成するには、 easy-rsa とのコマンド gen-crl まだ中にいる間のオプション ~/easy-rsa ディレクトリ:

  1. ./easyrsa gen-crl

作成時にパスフレーズを使用した場合 ca.key ファイルの場合、入力するように求められます。 The gen-crl コマンドはと呼ばれるファイルを生成します crl.pem、そのCAの失効した証明書の更新されたリストが含まれています。

次に、更新されたものを転送する必要があります crl.pem を実行するたびに、このCAに依存するすべてのサーバーとクライアントにファイルを送信します。 gen-crl 指図。 それ以外の場合、クライアントとシステムは、CAを使用するサービスとシステムにアクセスできます。これらのサービスは、証明書の失効ステータスを知る必要があるためです。

証明書失効リストの転送

CAサーバーでCRLを生成したので、CAに依存するリモートシステムにCRLを転送する必要があります。 このファイルをサーバーに転送するには、 scp 指図。

注:このチュートリアルでは、CRLを手動で生成および配布する方法について説明します。 OCSP-Stapling のような失効リストを配布およびチェックするためのより堅牢で自動化された方法がありますが、これらの方法の構成はこの記事の範囲を超えています。

root以外のユーザーとしてCAサーバーにログインしていることを確認し、次のコマンドを実行します。代わりに、独自のサーバーIPまたはDNS名を使用します。 your_server_ip:

  1. scp ~/easy-rsa/pki/crl.pem sammy@your_server_ip:/tmp

ファイルがリモートシステム上にあるので、最後のステップは、失効リストの新しいコピーでサービスを更新することです。

CRLをサポートするサービスの更新

を使用するサービスを更新するために使用する必要があるステップのリスト crl.pem ファイルはこのチュートリアルの範囲を超えています。 一般的に、あなたはコピーする必要があります crl.pem サービスが期待する場所にファイルを作成し、を使用して再起動します systemctl.

新しいサービスでサービスを更新したら crl.pem ファイルを使用すると、サービスは、取り消された証明書を使用しているクライアントまたはサーバーからの接続を拒否できるようになります。

CRLの内容の調査と検証

失効した証明書のリストを確認するなど、CRLファイルを調べたい場合は、次を使用します。 openssl あなたの中からのコマンド easy-rsa CAサーバー上のディレクトリ:

  1. cd ~/easy-rsa
  2. openssl crl -in pki/crl.pem -noout -text

このコマンドは、次のようなサーバーまたはシステムでも実行できます。 openssl のコピーとともにインストールされたツール crl.pem ファイル。 たとえば、 crl.pem 2番目のシステムにファイルし、 sammy-server 証明書が取り消され、使用できます openssl 次のようなコマンドを使用して、ここで強調表示されているものの代わりに、証明書を取り消したときに以前にメモしたシリアル番号を置き換えます。

  1. openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A
Output
Serial Number: 8348B3F146A765581946040D5C4D590A Revocation Date: Apr 1 20:48:02 2020 GMT

どのように grep コマンドは、失効ステップでメモした一意のシリアル番号を確認するために使用されます。 これで、ユーザーとサービスへのアクセスを制限するために証明書失効リストに依存しているシステムで、証明書失効リストの内容を確認できます。

結論

このチュートリアルでは、スタンドアロンのCentOS8サーバーでEasy-RSAパッケージを使用してプライベート認証局を作成しました。 CAに依存する当事者間で信頼モデルがどのように機能するかを学びました。 また、練習用サーバーの証明書署名要求(CSR)を作成して署名し、証明書を取り消す方法を学びました。 最後に、CAに依存するシステムの証明書失効リスト(CRL)を生成および配布して、サービスにアクセスしてはならないユーザーまたはサーバーがアクセスできないようにする方法を学びました。

これで、ユーザーに証明書を発行して、OpenVPNなどのサービスで使用できるようになりました。 CAを使用して、証明書を使用して開発およびステージングWebサーバーを構成し、非実稼働環境を保護することもできます。 開発中にTLS証明書でCAを使用すると、コードと環境を本番環境と可能な限り一致させることができます。

OpenSSLの使用方法について詳しく知りたい場合は、 OpenSSL Essentials:SSL証明書、秘密鍵、およびCSRの操作チュートリアルに、OpenSSLの基本を理解するのに役立つ多くの追加情報があります。