Menyiapkan dan mengonfigurasi Otoritas Sertifikat (CA) di Debian 10 | DigitalOcean

Certificate Authority (CA) adalah badan yang bertanggung jawab untuk mengeluarkan sertifikat digital untuk memverifikasi identitas di Internet. Meskipun CAs publik adalah pilihan populer untuk memverifikasi identitas situs web dan layanan lain yang tersedia untuk masyarakat umum, EA pribadi biasanya digunakan untuk kelompok tertutup dan layanan pribadi.

Membuat CA pribadi memungkinkan Anda untuk mengkonfigurasi, menguji, dan menjalankan program yang memerlukan koneksi terenkripsi antara klien dan server. Dengan CA pribadi, Anda dapat mengeluarkan sertifikat kepada pengguna, server, atau program dan layanan individual dalam infrastruktur Anda.

Beberapa contoh program di Linux yang menggunakan CA pribadi mereka sendiri adalah OpenVPN dan Puppet. Anda juga dapat mengonfigurasi server web Anda untuk menggunakan sertifikat yang dikeluarkan oleh CA pribadi agar sesuai dengan lingkungan pengembangan dan pementasan dengan server produksi yang menggunakan TLS untuk mengenkripsi koneksi.

Dalam panduan ini, kita akan belajar cara mengatur CA pribadi di server Debian 10 dan cara menggunakan CA baru untuk membuat dan menandatangani sertifikat uji. Anda juga akan belajar cara mengimpor sertifikat publik server CA ke toko sertifikat sistem operasi Anda sehingga Anda dapat memverifikasi rantai kepercayaan antara CA dan server atau pengguna jarak jauh. Akhirnya, Anda akan belajar cara mencabut sertifikat dan mendistribusikan daftar pencabutan sertifikat untuk memastikan bahwa hanya pengguna dan sistem yang berwenang yang dapat menggunakan layanan berdasarkan CA Anda. Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan akses ke server Debian 10 yang dapat menghosting layanan OpenVPN Anda. Anda harus mengonfigurasi pengguna non-root dengan hak istimewa sudo sebelum Anda dapat memulai panduan ini. Anda dapat mengikuti panduan kami untuk menyiapkan server Debian 10 untuk pertama kalinya untuk mengatur pengguna dengan izin yang sesuai. Tutorial tertaut juga menyiapkan firewall, dan panduan ini mengasumsikan bahwa itu ada.

Server ini disebut sebagai server CA dalam tutorial ini.

Verifikasi bahwa server CA adalah sistem yang berdiri sendiri. Ini hanya digunakan untuk mengimpor, menandatangani, dan mencabut permintaan sertifikat. Seharusnya tidak menjalankan layanan lain, dan idealnya offline atau ditutup sepenuhnya jika Anda tidak secara aktif bekerja dengan CA Anda.

Catatan: Bagian terakhir dari tutorial ini bersifat opsional jika Anda ingin mempelajari tentang menandatangani dan mencabut sertifikat. Jika Anda memutuskan untuk melakukan langkah-langkah latihan ini, Anda akan memerlukan server Debian 10 kedua atau Anda dapat menggunakan mesin Linux lokal Anda sendiri yang menjalankan Debian atau Ubuntu atau distribusi yang berasal dari mereka. Langkah 1 — Instal Easy-RSA

Tugas pertama dalam tutorial ini adalah menginstal skrip easy-rsa yang diatur di server CA Anda. easy-rsa adalah alat manajemen CA yang Anda gunakan untuk menghasilkan kunci pribadi dan sertifikat akar publik, yang kemudian Anda gunakan untuk menandatangani permintaan dari klien dan server yang bergantung pada CA Anda.

Masuk ke server CA Anda sebagai pengguna sudo non-root yang Anda buat selama langkah-langkah penyiapan awal dan lakukan hal berikut:sudo apt updatesudo apt install easy-rsa

Anda akan diminta untuk mengunduh dan menginstal paket. Tekan y untuk mengonfirmasi bahwa Anda ingin menginstal paket.

Pada titik ini, Anda memiliki semua yang Anda butuhkan dan siap menggunakan Easy-RSA. Langkah selanjutnya adalah membuat infrastruktur kunci publik dan kemudian mulai membuat CA Anda. Langkah 2 – Siapkan direktori infrastruktur kunci publik

Sekarang setelah Anda menginstal easy-rsa, saatnya untuk membuat infrastruktur kunci publik dasar (PKI) di server CA. Pastikan Anda masih masuk sebagai pengguna non-root dan buat direktori easy-rsa. Pastikan Anda tidak menggunakan sudo untuk menjalankan salah satu perintah berikut, karena pengguna normal Anda harus mengelola dan berinteraksi dengan CA tanpa izin yang ditinggikan.mkdir ~/easy-rsa

Ini akan membuat direktori baru yang disebut easy-rsa di folder rumah Anda. Kami akan menggunakan direktori ini untuk membuat tautan simbolis yang mengarah ke file paket easy-rsa yang kami instal di langkah sebelumnya. File-file ini terletak di folder /usr/share/easy-rsa di server CA.

Buat symlink menggunakan perintah ln:ln -s /usr/share/easy-rsa/* ~/easy-rsa/

Catatan: Meskipun panduan lain mungkin menginstruksikan Anda untuk menyalin file paket easy-rsa ke direktori PKI Anda, tutorial ini mengambil pendekatan symlink. Akibatnya, semua pembaruan paket easy-rsa secara otomatis tercermin dalam skrip PKI Anda.

Untuk membatasi akses ke direktori PKI baru Anda, pastikan hanya pemilik yang dapat mengaksesnya dengan perintah chmod:chmod 700 /home/sammy/easy-rsa

Kemudian menginisialisasi PKI dalam direktori easy-rsa:cd ~/easy-rsa./easyrsa init-pki

Outputinit-pki lengkap; Anda sekarang dapat membuat CA atau permintaan. Dir PKI Anda yang baru dibuat adalah: /home/sammy/easy-rsa/pki

Setelah Anda menyelesaikan bagian ini, Anda akan memiliki direktori yang berisi semua file yang diperlukan untuk membuat CA. Di bagian berikutnya, Anda akan membuat kunci pribadi dan sertifikat publik untuk CA Anda. Langkah 3 – Buat CA

Sebelum Anda dapat membuat kunci dan sertifikat pribadi CA Anda, Anda perlu membuat file bernama vars dan mengisinya dengan beberapa nilai default. Pertama Anda akan menempatkan cd di direktori easy-rsa, maka Anda akan membuat dan mengedit file vars menggunakan nano atau editor teks favorit Anda:cd ~/easy-rsavar nano

Setelah file terbuka, tempel baris berikut dan edit setiap nilai yang disorot untuk mencerminkan informasi organisasi Anda sendiri. Adalah penting bahwa Anda tidak meninggalkan salah satu nilai kosong:

~/easy-rsa/varsset_var EASYRSA_REQ_COUNTRY"AS"set_var EASYRSA_REQ_PROVINCE"NewYork"set_var EASYRSA_REQ_CITY"New York City"set_var EASYRSA_REQ_ORG"DigitalOcean"set_var EASYRSA_REQ_EMAIL"admin@example.com"set_var EASYRSA_REQ_OU"Community"set_var EASYRSA_ALGO"ec"set_var EASYRSA_DIGEST"sha512"

Setelah selesai, simpan dan tutup file. Jika Anda menggunakan nano, Anda dapat melakukan ini dengan menekan CTRL + X, lalu Y dan ENTER untuk mengkonfirmasi. Anda sekarang siap untuk membuat CA Anda.

Untuk membuat pasangan kunci root publik dan pribadi untuk CA Anda, jalankan perintah ./easy-rsa lagi, kali ini dengan opsi build-ca:./easyrsa build-ca

Dalam output, Anda akan melihat beberapa baris tentang versi OpenSSL dan akan diminta untuk memasukkan frasa sandi untuk pasangan kunci Anda. Pastikan untuk memilih frasa sandi yang kuat dan menuliskannya di tempat yang aman. Anda harus memasukkan frasa sandi setiap kali Anda perlu berinteraksi dengan CA Anda, misalnya, untuk menandatangani atau mencabut sertifikat.

Anda juga akan diminta untuk mengkonfirmasi Nama Umum (CN) untuk CA Anda. CN adalah nama yang digunakan untuk merujuk ke komputer ini dalam konteks CA. Anda dapat memasukkan string apa pun untuk Nama Umum CA, tetapi untuk kesederhanaan, tekan ENTER untuk menerima nama default.

Hasil... Masukkan Frasa Sandi Kunci CA Baru:Masukkan Kembali Frasa Sandi Kunci CA Baru:. . . Nama Umum (misalnya: nama pengguna, host, atau server Anda) [Pembuatan EASY-RSA CA]:CA selesai dan Anda sekarang dapat mengimpor dan menandatangani permintaan sertifikat. File sertifikat CA baru Anda untuk diterbitkan adalah di:/home/sammy/easy-rsa/pki/ca.crt