35.2 YaST CA-felügyeleti modulok

A YaST két modult biztosít az alapveto CA-felügyeleti funkciók ellátására. A két modul legfontosabb felügyeleti funkcióit az alábbiakban mutatjuk be.

35.2.1 Gyökér CA létrehozása

PKI készítéséhez az elso lépés mindig a gyökér CA elkészítése. A következoket kell tennie:

  1. Indítsa el a YaST-ot és lépjen be a Felhasználók és biztonság > Hitelesíto központ (CA) kezelés modulba.

  2. Kattintson a Gyökér CA létrehozása gombra.

  3. Az elso párbeszédablakban adja meg a CA létrehozásához szükséges legfontosabb adatokat (YaST CA-modul – Alapadatok a gyökér CA készítéséhez). A szövegmezok jelentése a következo:

    Ábra 35-1 YaST CA-modul – Alapadatok a gyökér CA készítéséhez

    Hitelesíto központ (CA) neve

    Adja meg a CA hivatalos nevét. Több más dolog mellett például a könyvtárnevek ebbol a névbol származnak, ezért kizárólag a súgóban meghatározott karakterek használhatók. Ez a név jelenik meg az összefoglalóban is, amikor a modul elindul.

    Általános név

    Adja meg azt a nevet, amelyen hivatkozik a CA-ra.

    E-mail címek

    Több elektronikus levélcím is megadható, amelyeket a CA felhasználói láthatnak. Ez hasznos lehet az érdeklodoknek.

    Ország

    Adja meg az országot, ahol a CA üzemel.

    Szervezet, Szervezeti egység, Hely, Állam

    Opcionális értékek.

  4. Kattintson a Tovább gombra.

  5. Adja meg a jelszót a második párbeszédablakban. Ez a jelszó mindig szükséges a CA használatakor – alárendelt CA és tanúsítvány készítéséhez. A szövegmezok jelentése a következo:

    Kulcshossz

    A Kulcshossz alapértelmezésként tartalmaz egy használható értéket, amelynek megváltoztatása nem feltétlenül szükséges, kivéve, ha egy alkalmazás nem tudja kezelni ezt a kulcsméretet. Minél nagyobb a szám, annál biztonságosabb a jelszó.

    Érvényességi idotartam (napok)

    Az Érvényességi idotartam CA esetén 3650 nap (körülbelül 10 év). Ez a hosszú idotartam értheto, hiszen egy CA lecserélése, törlése számos adminisztrációs ráfordítást igényel.

    A További opciók pontot választva egy párbeszédablak jelenik meg, ahol az X.509 attribútumkiterjesztések adhatók meg (Ábra 35-4). Ezek az értékek megfelelo alapbeállításokat tartalmaznak, és csak akkor változtassa meg, ha valóban tudja, mit csinál.

  6. Kattintson a Tovább gombra. A YaST kiírja a jelenlegi beállításokat, és megerosítést vár. Kattintson a Létrehozás gombra. A gyökér CA elkészül, és megjelenik az áttekinto képernyon.

TANÁCS: Általánosságban ajánlott tiltani felhasználói tanúsítványok kibocsátását a gyökér CA-n. Érdemes legalább egy alárendelt CA-t készíteni és azon létrehozni a felhasználói tanúsítványokat. Így a gyökér CA elkülönített, biztonságos környezetben üzemeltetheto - például egy elkülönített, megbízható számítógépen. Ez nagyon megnehezíti a gyökér CA megtámadását.

35.2.2 Jelszó módosítása

Ha meg kell változtatni a CA jelszavát, kövesse az alábbi lépéseket:

  1. Indítsa el a YaST-ot és nyissa meg a CA-modult.

  2. Válassza ki a kívánt gyökér CA-t, majd kattintson a Belépés a CA-ba gombra.

  3. Adja meg a jelszót, ha most eloször lép be a CA-ba. A YaST a Leírás lapon megjeleníti a CA kulcsadatait (lásd: YaST CA modul – CA használata).

  4. Kattintson a Szakértoi gombra és válassza ki a Jelszócsere pontot. Megjelenik egy párbeszédpanel.

  5. Írja be a régi és új jelszavakat

  6. A befejezéshez nyomja meg az OK gombot.

35.2.3 Alárendelt CA készítése és visszavonása

Az alárendelt CA ugyanúgy készül, mint a gyökér CA.

MEGJEGYZÉS: Az alárendelt CA érvényességi idejének teljes mértékben a szülo CA érvényességi idején belül kell lennie. Mivel az alárendelt CA mindig a szülo CA után készül, az alapértelmezett érték hibaüzenethez vezet. Ennek elkerülésére adjon meg helyes értéket érvényességi idonek.

A következoket kell tennie:

  1. Indítsa el a YaST-ot és nyissa meg a CA-modult.

  2. Válassza ki a kívánt gyökér CA-t, majd kattintson a Belépés a CA-ba gombra.

  3. Adja meg a jelszót, ha most eloször lép be a CA-ba. A YaST a Leírás lapon megjeleníti a CA kulcsadatait (lásd: YaST CA modul – CA használata).

    Ábra 35-2 YaST CA modul – CA használata

  4. Kattintson a Szakértoi gombra és válassza ki a Hitelesíto alközpont (subCA) létrehozása pontra. Ugyanaz a párbeszédablak jelenik meg, mint a gyökér CA létrehozásakor.

  5. Folytassa tovább az itt leírtak alapján: Szakasz 35.2.1, Gyökér CA létrehozása.

    Használhatja ugyanazt a jelszót az összes CA-hoz. Jelölje meg a CA jelszó használata tanúsítvány jelszavaként pontot, hogy az alárendelt CA-k jelszava ugyanaz legyen, mint a gyökér CA-é: így kevesebb jelszóval kell foglalkozni a CA-k kezelése során.

    MEGJEGYZÉS: Érvényességi idotartam ellenorzése

    Ne feledje, hogy az érvényességi idotartam nem lehet hosszabb, mint a gyökér CA érvényességi idotartama.

  6. Válassza ki a Tanúsítványok lapot. Kapcsolja ki a nem kívánt (vagy veszélyeztetett) alárendelt CA-kat a Visszavonás gombbal. A visszavonás azonban nem elég az alárendelt CA kikapcsolásához. A kikapcsolt alárendelt CA-t közzé kell tenni egy CRL-ben is. A CRL készítési folyamatának leírása: Szakasz 35.2.6, CRL készítése.

  7. A befejezéshez nyomja meg az OK gombot.

35.2.4 Felhasználói tanúsítványok készítése és visszavonása

A kliens- és kiszolgálótanúsítványok készítése nagyon hasonlít a CA-k létrehozásához (Szakasz 35.2.1, Gyökér CA létrehozása). Ugyanazok az elvek érvényesek itt is. Az elektronikus levelek aláírására készült tanúsítványok esetén a küldo (a saját kulcs birtokosának) elektronikus levélcímét feltétlenül fel meg kell adni a tanúsítványban, hogy a megfelelo tanúsítvány a levelezoprogramban hozzárendelheto legyen. A titkosításhoz használt tanúsítvány hozzárendelésénél a fogadó (a nyilvános kulcs tulajdonosa) elektronikus levélcímét kell elhelyezni a tanúsítványban. Kiszolgáló- és klienstanúsítványok esetén meg kell adni a kiszolgáló nevét az Általános név mezoben. A tanúsítványok alapértelmezett érvényessége 365 nap.

A kiszolgáló- és klienstanúsítványok létrehozásának módja:

  1. Indítsa el a YaST-ot és nyissa meg a CA-modult.

  2. Válassza ki a kívánt gyökér CA-t, majd kattintson a Belépés a CA-ba gombra.

  3. Adja meg a jelszót, ha most eloször lép be a CA-ba. A YaST a Leírás lapon megjeleníti a CA kulcsadatait.

  4. Kattintson a Tanúsítványok lapra (lásd: A CA tanúsítványai).

    Ábra 35-3 A CA tanúsítványai

  5. Kattintson a Hozzáadás > Kiszolgálótanúsítvány hozzáadása pontra és készítse el a kiszolgálótanúsítványt.

  6. Kattintson a Hozzáadás > Kliens tanúsítvány hozzáadása pontra és készítse el a klienstanúsítványt. Ne feledje el megadni az e-mail címeket.

  7. A befejezéshez nyomja meg az OK gombot.

A veszélyeztetett vagy megbízhatatlanná vált tanúsítványok visszavonásának módja:

  1. Indítsa el a YaST-ot és nyissa meg a CA-modult.

  2. Válassza ki a kívánt gyökér CA-t, majd kattintson a Belépés a CA-ba gombra.

  3. Adja meg a jelszót, ha most eloször lép be a CA-ba. A YaST a Leírás lapon megjeleníti a CA kulcsadatait.

  4. Kattintson a Tanúsítványok lapra (lásd: Szakasz 35.2.3, Alárendelt CA készítése és visszavonása).

  5. Válassza ki a visszavonni kívánt tanúsítványt és kattintson a Visszavonás gombra.

  6. Adja meg a tanúsítvány visszavonásának okát.

  7. A befejezéshez nyomja meg az OK gombot.

MEGJEGYZÉS: A visszavonás önmagában nem elég a tanúsítvány deaktiválásához. A visszavont tanúsítványt közzé kell tenni egy CRL-ben is. A CRL-ek létrehozását a Szakasz 35.2.6, CRL készítése rész írja le. A visszavont tanúsítványokat a CRL-ben közzététel után a Törlés gombbal lehet törölni.

35.2.5 Alapértelmezett adatok megváltoztatása

Az elozo részben ismertettük, hogyan tud alárendelt CA-t, kliens- és kiszolgálótanúsítványokat készíteni. A speciális beállításokat az X.509 tanúsítványok kiterjesztései használják. Ezek a kiterjesztések elore definiált értékekekkel rendelkeznek minden tanúsítványtípusra, és normál körülmények között ezek módosítása nem szükséges. Néhány speciális alkalmazás azonban igényelheti ezek módosítását. Amennyiben ilyen alkalmazások részére gyakran készít tanúsítványokat, érdemes az alapértelmezett értékeket átállítani. Ellenkezo esetben minden egyes tanúsítványnál külön kell módosítani ezeket.

  1. Indítsa el a YaST-ot és nyissa meg a CA-modult.

  2. Lépjen be a megfelelo gyökér CA-ba (Szakasz 35.2.3, Alárendelt CA készítése és visszavonása)

  3. Kattintson a Szakértoi > Alapértelmezett szerkesztése pontra.

  4. Válassza ki a módosítani kívánt beállítások típusát. Ezek után megjelenik az alapértékeket tartalmazó párbeszédablak: Ábra 35-4.

    Ábra 35-4 YaST CA modul – Speciális beállítások

  5. Módosítsa a megfelelo értéket a jobb oldalon, és állítsa be vagy törölje a kritikus értéket.

  6. Kattintson a Tovább gombra. Megjelenik egy rövid összefoglalás.

  7. A módosítások véglegesítéséhez kattintson a Mentés gombra.

MEGJEGYZÉS: Minden alapérték-módosítás csak a módosítás után készült objektumokra érvényes. A módosítás a már meglévo CA-kat és tanúsítványokat nem érinti.

35.2.6 CRL készítése

Nem elég a veszélyeztetett vagy megbízhatatlanná vált tanúsítványokat törölni, elobb vissza is kell vonni oket. Ennek leírása a Szakasz 35.2.3, Alárendelt CA készítése és visszavonása (alárendelt CA-k), illetve a Szakasz 35.2.4, Felhasználói tanúsítványok készítése és visszavonása (felhasználói tanúsítványok) részekben olvashatók. Ezek után a CRL-t el kell készíteni és közzé kell tenni.

A rendszer minden CA-hoz pontosan egy CRL-t tart nyilván. E CRL elkészítéséhez vagy frissítéséhez:

  1. Indítsa el a YaST-ot és nyissa meg a CA-modult.

  2. Lépjen be a megfelelo CA-ba (Szakasz 35.2.3, Alárendelt CA készítése és visszavonása).

  3. Kattintson a CRL pontra. A következo párbeszédablakban a CA utolsó CRL-jérol készült összefoglalóját tekintheti meg.

  4. Amennyiben visszavont alárendelt CA-kat vagy tanúsítványokat a lista készülte óta, hozzon létre egy új CRL-t a CRL létrehozása gombra kattintva.

  5. Adja meg az új CRL érvényességi idejét (alapértelmezés 30 nap).

  6. Kattintson az OK gombra a CRL elkészítéséhez és megjelenítéséhez. Ezek után közzé kell tenni a CRL-t.

TANÁCS: A CRL-t használó alkalmazások elutasítják azokat a tanúsítványokat, amelyek a CRL-ben szerepelnek. PKI-szolgáltatóként az Ön feladata, hogy mindig készítse el és tegye közzé a legújabb CRL listát, mielott a régi lejár (érvényességi ideje lejárta elott). A YaST jelenleg nem rendelkezik a funckió automatizálására szolgáló megoldással.

35.2.7 CA objektumok exportálása LDAP-ba

A YaST LDAP-klienssel elo kell készíteni a végrehajtó számítógépet LDAP-exportra. Így futási idoben elérhetové válnak LDAP kiszolgálóinformációk, és ezek használhatók a párbeszédablakok automatikus kiegészítésére. Az LDAP export lehetséges egyéb esetben is, azonban az LDAP adatokat kézzel kell beírni. Mindig több jelszót is be kell írni (bovebb információ: Táblázat 35-3).

Táblázat 35-3 LDAP exportálás közben szükséges jelszavak

Jelszó

Jelentés

LDAP jelszó

A jelszó hitelesíti a klienst, hogy képes legyen objektumok létrehozására az LDAP-címtárfában.

Tanúsítványjelszó

A jelszó hitelesíti a felhasználót, hogy ki tudja exportálni a tanúsítványt.

Új tanúsítványjelszó

PKCS12 formátum használatos LDAP export közben. Ez a formátum kikényszeríti egy új jelszó hozzárendelését az exportált tanúsítványhoz.

Tanúsítványok, CA-k,és CRL-ek exportálhatók LDAP protokollon keresztül.

CA exportálása LDAP-ba

CA exportálásához adja meg a CA-t (Szakasz 35.2.3, Alárendelt CA készítése és visszavonása). Válassza ki a Kiterjesztés > Exportálás LDAP-ba pontot a következo párbeszédablakban, amely megnyitja az LDAP-adatok beírására szolgáló újabb párbeszédablakot. Ha a rendszer YaST-al lett beállítva, a mezok automatikusan kitöltodnek. Ellenkezo esetben minden adatot kézzel kell megadni. Az LDAP-ban megadott bejegyzések egy külön fában, a caCertificate attribútummal lesznek megadva.

Tanúsítvány exportálása LDAP-ba

Adja meg a CA-t, amely tartalmazza az exportálni kívánt alárendelt CA-t, majd válassza ki a Tanúsítványok lapot. Válassza ki az alárendelt CA-t a tanúsítványlistából, a párbeszédablak felso részében, majd válassza ki az Exportálás > Exportálás LDAP-ba pontot. Az LDAP-adatokat ugyanúgy kell megadni, mint a CA-knál. Ezután a tanúsítvány a megfelelo felhasználói objektummal együtt el lesz mentve az LDAP-címtárfában, kibovítve a userCertificate (PEM formátum) és userPKCS12 (PKCS12 formátum) attribútumokkal.

CRL exportálása LDAP-ba

Adja meg a CRL-t tartalmazó CA-t, amelyet exportálni kíván és válassza ki a CRL pontot. Ha szükséges, készítsen egy új CRL-t, majd kattintson az Exportálás gombra. A megjeleno párbeszédablakban láthatók az exportálási paraméterek. A CA CRL-je exportálható egyszer, de meghatározott idoközönként rendszeresen is. Aktiválja az exportálást: válassza ki az Exportálás LDAP-ba pontot, majd adja meg a megfelelo LDAP-adatokat. A rendszeres végrehajtáshoz jelölje meg a Ismétlodo újrakészítés és exportálás választógombot, és ha szükséges, módosítsa az idoközt.

35.2.8 CA-objektumok exportálása fájlba

Ha beállított egy lerakatot a számítógépen a CA adminisztrálásához, akkor ezzel a funkcióval hozhatja létre a megfelelo CA-objektumokat a megfelelo helyeken, közvetlenül fájl formájában. Különbözo formátumok használhatók, például PEM, DER vagy PKCS12. PEM formátum esetén kiválaszthatja, hogy el kívánja -e menteni a kulcsokat, illetve, hogy a kulcsok titkosítottak legyenek-e. PKCS12 formátum esetén lehetséges a tanúsítvány-útvonal exportálása is.

A tanúsítvány CA és CRL fájl formátumba történo exportálása ugyanúgy történik, mint az LDAP export (Szakasz 35.2.7, CA objektumok exportálása LDAP-ba), azzal a különbséggel, hogy az Exportálás LDAP-ba pont helyett az Exportálás fájlba pontot kell kiválasztani. Ezek után megjelenik a párbeszédablak, ahol kiválaszthatja a kimeneti formátumot, és beírhatja a jelszót és a fájl nevét. A tanúsítványok az OK gombra kattintás után a megfelelo helyre lesznek elmentve.

CRL-ek esetén kattintson az Exportálás gombra, válassza ki az Exportálás fájlba pontot, adja meg az exportálás formátumát (PEM vagy DER), majd adja meg az elérési útvonalat. Kattintson az OK gombra a megfelelo helyre mentéshez.

TANÁCS: Bármely tárolási helyet kiválaszthat a fájlrendszeren. Ez a parancs használható a CA objektumok hordozható adathordozóra, például USB-meghajtóra exportálásra is. A /media általában mindenféle egyéb meghajtót jelenthet (a merevlemez kivételével).

35.2.9 Általános kiszolgálótanúsítványok importálása

Ha rendelkezik egy exportált kiszolgálótanúsítvánnyal egy cserélheto adathordozón, amely a YaST segítségével készült egy elkülönített CA-felügyeleti gépen, importálhatja azt egy másik kiszolgálón, mint általános kiszolgálótanúsítványt. Ezt a telepítés során vagy késobb is megteheti a YaST használatával.

MEGJEGYZÉS: A tanúsítvány sikeres importálásához valamelyik PKCS12 formátumot kell használni.

Az általános kiszolgálótanúsítvány az /etc/ssl/servercerts könyvtárban tárolódik és bármely CA által támogatott szolgáltatáshoz használható. Ha a tanúsítvány lejár, hasonló módon könnyedén lecserélheto. Egyetlen további muvelet szükséges: a tanúsítványt használó szolgáltatásokat újra kell indítani.

TANÁCS: Az Importálás kiválasztása után keresse ki a fájlrendszerbol a forrásfájlt. Ez a megoldás alkalmazható a tanúsítvány cserélheto adathordozókról, például USB-meghajtókról történo importáláshoz is.

Egy általános kiszolgálótanúsítvány importálása:

  1. Indítsa el a YaST-ot, majd nyissa meg az Általános kiszolgálótanúsítvány részt a Biztonság és felhasználók modulban.

  2. Miután a YaST elindult, tekintse meg a jelenlegi tanúsítvány adatait a leírás mezoben.

  3. Válassza ki az Importálás pontot, majd a tanúsítványfájlt.

  4. Írja be a jelszót és kattintson a Tovább gombra. Az importált tanúsítvány a leírás mezoben jelenik meg.

  5. Zárja be YaST-ot a Befejezés gombra kattintással.