Easy-RSA 3 ile kişisel sertifika otoritemizi (CA) kuruyoruz

CAEasy-RSA3, Linux komut satırından çalışan, PKI CA (kök sertifika otoritesi) oluşturulmasını ve yönetilmesini sağlayan bir araç. OpenVPN ile birlikte dağıtıldığından, tanınan bir araç. OpenSSL komut satırı aracının üzerine yazılmış betiklerden oluşmakta. Başlıca özellikleri;

– Kök sertifika oluşturma ve imzalama
– Sertifika istek ve imzalama (request and sign)
– Alt kök sertifika yönetimi ( sub-CAs )
– Sertifika iptal listesi oluşturma ( CRL )

Saydığımız bu özelliklerin kullanım örnekleri aşağıdaki gibi;

Açık anahtar altyapısının (PKI) oluşturulması

Easy-RSA‘nin kullanılabilmesi için öncelikle gerekli klasör yapısının oluşturulması gerekmekte. Farklı klasör isimleri ile birden çok PKI altyapısının yönetilmesi mümkün, varsayılan üst klasör adı PKI. Altyapının ilk kurulumunu aşağıdaki komut ile tamamlayalım;

./easyrsa init-pki

Bu komut her çalıştırıldığında tüm yapı sıfırlanıyor.

Kök sertifikanın oluşturulması

Sertifika isteklerini (CSR) imzalayabilmek için bir sertifika otoritesine (CA) ihtiyacımız var. Kurduğumuz PKI için bir CA anahtar çifti oluşturalım;

./easyrsa build-ca

Sorulduğunda güçlü bir parola girmemiz önemli, PKI yapısında en yüksek güvenlik gerektiren bileşen CA gizli anahtarıdır. Belirlediğimiz bu parolayı daha sonra sertifika imzalarken kullanacağız. Bu adım tamamlandığında bir açık anahtarımız (ca.crt) ve bir gizli anahtarımız (ca.key) oluşturulup PKI klasör yapısındaki yerlerine kopyalanır.

İmza istediğinin CA’ya gönderilmesi

İmzalama isteğinin nasıl oluşturulduğunu “SSL Sertifikası Nasıl Üretilir?” başlıklı yazımda açıklamıştım. Gelen isteklerin CA‘ya iletelim ve sonrasında bu iletilen imzalama isteğini onaylayalım;

./easyrsa import-req istekDosyasi.req istekAdı

İsteğin ayrıntılarını görüntüleyelim;

./easyrsa show-req istekAdı

İsteği imzalarken kullanılabilecek üç farklı parametre bulunuyor. Bunlar CLIENT, SERVER ve CA. İhtiyacımıza uygun sertifika türünü belirleyerek imzalama işlemini tamamlayalım;

./easyrsa sign server istekAdı

Bu adımdan sonra imzalı sertifika PKI yapısındaki ISSUED klasörünün altına kopyalanır. İmzalayacağımız sertifikada CN (common name) alanı tanımlı olmalı.

İmzalanan sertifikanın iptal (revoke) edilmesi ve CRL’nin yayınlanması

Çeşitli nedenlerden dolayı, imzalanan bir sertifikayı iptal edelim;

./easyrsa revoke istekAdı

İptal (revoke) edilen sertifikaları CRL (certificate revoke list) dosya türünde yayına hazır hale getirelim;

./easyrsa gen-crl

Anahtar çifti ve istek oluşturma

Easy-RSA ile tek seferde anahtar oluşturmak ve imza isteğinde bulunmak mümkün. Yukarıda açıkladığım gibi bu isteği CA ile imzalayarak otorite imzalı sertifikayı elde ederiz.

./easyrsa gen-req istekAdı

 



Bir Cevap Yazın

(gerekli)