適用於 CA 管理的 YaST 模組

YaST 針對基本 CA 管理提供了兩種模組。此處將說明使用這些模組的主要管理工作。

建立根 CA

設定 PKI 時的首要步驟是建立一個根 CA。請進行下列幾項操作:

  1. 啟動 YaST,並移至安全性與使用者+CA 管理

  2. 按一下建立根 CA

  3. 在第一個對話方塊輸入 CA 的基本資料,如圖形 42.1 「YaST CA 模式 — 根 CA 的基本資料」所示。文字欄位代表下列意義:

    圖形 42.1. YaST CA 模式 — 根 CA 的基本資料

    YaST CA 模式 — 根 CA 的基本資料

    CA 名稱

    輸入 CA 的技術名稱。包括目錄名稱在內的其他項目皆衍生自此名稱,這也是為何只能使用說明中列出的字元的原因。當啟動模組時,技術名稱也會顯示於概觀中。

    公用名稱

    輸入用來參照 CA 的名稱。

    電子郵件地址

    在此可輸入數個電子郵件地址,以便供 CA 使用者查看。這對查詢有所幫助。

    國家

    選取進行 CA 操作的國家。

    組織組織單位地區

    選擇性設定值

  4. 按一下「下一步」

  5. 在第二個對話方塊中輸入密碼。當建立子 CA 或產生憑證時,若使用 CA,都會要求輸入此密碼。文字欄位代表下列意義:

    金鑰長度

    金鑰長度包含有意義的預設值,除非應用程式無法處理此金鑰長度,否則通常無須變更金鑰長度。

    有效期限 (天數)

    CA 預設的有效期限是 3650 天 (約十年)。長時間是合理的,因為取代刪除的 CA,牽涉到大量的管理工作。

    按一下進階選項可開啟對話方塊,以設定 X.509 延伸的不同屬性 (圖形 42.4 「YaST CA 模組 — 延伸設定」)。這些值具有合理的預設值。只有當您有相當自信時,才應變更此值。

  6. YaST 顯示目前設定以供確認。按一下建立。根 CA 已建立並隨後顯示在概觀中。

[Tip]

一般來說,最好不要允許根 CA 發行使用者憑證。最好至少建立一個子 CA,並從那裡建立使用者憑證。此方法的優點是可將根 CA 隔離開來以保護其安全,舉例來說,將根 CA 放在隔離的電腦上以加強安全性。在此狀況下,要攻擊根 CA 就變得非常困難。

建立子 CA 或撤銷子 CA

子 CA 的建立方式與根 CA 完全一樣。請進行下列幾項操作:

  1. 啟動 YaST 並開啟 CA 模組。

  2. 選取所需 CA 並按一下輸入 CA

    [Note]

    子 CA 的有效期必須完全在「上層」 CA 的有效期之內。因為子 CA 一定是在「上層」 CA 之後建立,因此預設值會產生錯誤訊息。若要避免,請輸入有效期限允許值。

  3. 如果是第一次輸入 CA,請輸入密碼。YaST 會在索引標籤說明中顯示 CA 金鑰資訊 (請參閱圖形 42.2)。

    圖形 42.2. YaST CA 模組 — 使用 CA

    YaST CA 模組 — 使用 CA

  4. 按一下進階並選取建立子 CA。此步驟所開啟的對話方塊,和建立根 CA 一樣。

  5. 第 42.2.1 節「建立根 CA」 所述進行。

  6. 選取索引標籤憑證。使用撤銷以在此重新設定外洩的子 CA 或不需要的子 CA。單憑撤銷不足以停用子 CA。還要在 CRL 中發佈撤銷的子 CA。CRL 的建立步驟如 第 42.2.5 節「建立 CRL 」 所述。

  7. 結束時按一下確定

建立或撤銷使用者憑證

建立用戶端與伺服器憑證與第 42.2.1 節「建立根 CA」中的建立 CA 程序十分相近。此處也適用相同的原則。在用於電子郵件簽章的憑證中應該包含寄件者 (私密金鑰擁有者) 的電子郵件地址,電子郵件程式才能指派正確的憑證。若要加密時進行憑證指派,憑證中必須包含收件人 (公用金鑰擁有者) 的電子郵件地址。如果是伺服器和用戶端憑證,則必須在公用名稱欄位中輸入伺服器的主機名稱。憑證預設有效期限是 365 天。

若要建立用戶端和伺服器憑證,請執行下列步驟:

  1. 啟動 YaST 並開啟 CA 模組。

  2. 選取所需 CA 並按一下輸入 CA

  3. 如果是第一次輸入 CA,請輸入密碼。YaST 會在說明索引標籤中顯示 CA 金鑰資訊。

  4. 按一下憑證(請參閱 圖形 42.3 「CA 憑證」)。

    圖形 42.3. CA 憑證

    CA 憑證

  5. 按一下新增+新增伺服器憑證,並建立伺服器憑證。

  6. 按一下新增+新增用戶端憑證,並建立用戶端憑證。請不要忘記輸入電子郵件地址。

  7. 結束時按一下確定

若要撤銷外洩或不要的憑證,請執行下列步驟:

  1. 啟動 YaST 並開啟 CA 模組。

  2. 選取所需 CA 並按一下輸入 CA

  3. 如果是第一次輸入 CA,請輸入密碼。YaST 會在說明索引標籤中顯示 CA 金鑰資訊。

  4. 按一下憑證(請參閱 第 42.2.2 節「建立子 CA 或撤銷子 CA」)。

  5. 選取要撤銷的憑證,並按一下撤銷

  6. 選擇要撤銷此憑證的原因。

  7. 結束時按一下確定

[Note]

單憑撤銷動作不足以停用憑證。還要在 CRL 中發佈撤銷憑證。第 42.2.5 節「建立 CRL 」說明了如何建立 CRL。在 CRL 發佈撤銷憑證後,即可使用刪除將撤銷的憑證完全移除。

變更預設值

前幾節說明了如何建立子 CA、用戶端憑證和伺服器憑證。特殊設定則用於 X.509 憑證的延伸。這些設定已賦予合理的預設值可供所有的憑證類型使用,通常這些設定是不需要變更的。不過,您也許對這些延伸有特定需求。在這種情況下,您可以調整預設值。否則,每次您都要從頭開始建立憑證。

  1. 啟動 YaST 並開啟 CA 模組。

  2. 輸入必要 CA,如 第 42.2.2 節「建立子 CA 或撤銷子 CA」 所述。

  3. 按一下進階+編輯預設值

  4. 選擇要變更的設定類型。接著會開啟如 圖形 42.4 「YaST CA 模組 — 延伸設定」 所示的對話方塊,以供變更預設值。

    圖形 42.4. YaST CA 模組 — 延伸設定

    YaST CA 模組 — 延伸設定

  5. 在右邊變更相關值,並使用關鍵來設定或刪除關鍵設定。

  6. 按一下下一步來檢視簡短摘要。

  7. 完成變更後按一下儲存

[Tip]

所有的預設值變更只會影響此後所建立的物件。已存在的 CA 和 憑證保持不變。

建立 CRL

若有外洩憑證或不要的憑證應加以排除以免之後再次用到,首先必須將這類憑證撤銷。第 42.2.2 節「建立子 CA 或撤銷子 CA」 (適用於 CA) 與第 42.2.3 節「建立或撤銷使用者憑證」 (適用於使用者憑證) 中會詳細說明這個程序。之後,必須使用此資訊來建立及發佈 CRL。

系統只會為每個 CA 維護一個 CRL。若要建立或更新此 CRL,請執行下列步驟:

  1. 啟動 YaST 並開啟 CA 模組。

  2. 輸入必要 CA,如 第 42.2.2 節「建立子 CA 或撤銷子 CA」 所述。

  3. 按一下CRL。開啟的對話方塊會顯示 此 CA 的上一個 CRL 的摘要。

  4. 如果您在 CRL 建立之後曾撤銷新的子 CA 或憑證,請使用產生 CRL來建立新的 CRL。

  5. 指定新 CRL 的有效期限 (預設值:30 天)。

  6. 按一下確定來建立和顯示 CRL。之後,您必須發佈此 CRL。

[Tip]

如果無法取得 CRL 或 CRL 到期,評估 CRL 的應用程式將會拒絕每個憑證。身為 PKI 提供者,您有責任在目前的 CRL 到期之前 (有效期間內),建立及發佈新的 CRL。YaST 未提供自動化這項程序的功能。

將 CA 物件輸出至 LDAP

執行中的電腦必須透過 YaST LDAP 用戶端來設定,以執行 LDAP 的輸出。此程序會提供執行階段之 LDAP 伺服器資訊供您填寫對話方塊欄位。否則,雖然可以採取輸出方式,所有 LDAP 資料還是必須以手動方式來輸入。您必須輸入數個密碼 (請參閱 表格 42.3 「LDAP 輸出期間的密碼」)。

表格 42.3. LDAP 輸出期間的密碼

密碼

代表意義

LDAP 密碼

授權使用者在 LDAP 樹狀結構中建立項目。

憑證密碼

授權使用者輸出憑證。

新的憑證密碼

LDAP 輸出時會使用 PKCS12 格式。此格式會強制指定新的密碼給輸出的憑證。


憑證、 CA 和 CRL 都可輸出至 LDAP。

輸出 CA 到 LDAP

若要輸出 CA,請輸入 CA,如第 42.2.2 節「建立子 CA 或撤銷子 CA」所述。在接下來的對話方塊中,選取延伸+輸出至 LDAP,這會開啟用來輸入 LDAP 資料的對話方塊。如果您的系統已透過 YaST LDAP 用戶端設定,則這些欄位中有一部分已填入資料。否則,請以手動方式輸入所有資料。利用 「caCertificate」 屬性,於個別樹的 LDAP 中建立項目。

將憑證輸出至 LDAP

輸入含有要輸出憑證的 CA,接著選取憑證。從對話方塊上方的憑證清單中,選取需要的憑證,接著選取輸出+輸出至 LDAP。使用和 CA 相同的方式,在此處輸入 LDAP 資料。此憑證會與 LDAP 樹狀結構中的相對應使用者物件一起儲存,並包含屬性 「userCertificate」 (PEM 格式) 和 「userPKCS12」 (PKCS12 格式)。

輸出 CRL 到 LDAP

輸入含有 CRL 的 CA 以便進行輸出,並選取CRL。若有需要,請建立新的 CRL 並按一下輸出。隨即開啟的對話方塊將顯示輸出參數。您可以一次性或在固定的時間間隔內輸出此 CA 的 CRL。透過選取輸出到 LDAP啟用輸出並分別輸入 LDAP 資料。若要在固定時間間隔內執行此動作,請選取重複的重新建立和輸出選項圓鈕並變更間隔 (如果適合的話)。

以檔案格式輸出 CA 物件

如果已在電腦上設定了供管理 CA 使用的儲存庫,您可以使用此選項,於正確的位置上直接將 CA 物件建立成一個檔案。可以使用多種不同的輸出格式,例如 PEM、DER 以及 PKCS12。如果是 PEM,也可能選擇輸出憑證時包含還是不包含金鑰,以及金鑰是否應加密。如果是 PKCS12,則您也可以將憑證路徑輸出。

以 LDAP 的相同方法輸出憑證、CA 的檔案,如第 42.2.6 節「將 CA 物件輸出至 LDAP 」所述,不同之處僅在於要選取輸出為檔案而非輸出到 LDAP。接著會出現一個對話方塊,讓您選取必要的輸出格式及輸入密碼和檔案名稱。按一下確定之後,該憑證會儲存到所需的位置。

對於 CRL,請按一下輸出,選取輸出到檔案,選擇輸出格式 (PEM 或 DER) 並輸入路徑。繼續按確定將其儲存到相應位置。

[Tip]

您可以在任何檔案系統中選取任一儲存位置。這個選項也可以用來將 CA 物件儲存在傳輸媒體上,例如 USB 晶片組。/media 目錄通常存放系統硬碟以外的任何磁碟類型。

輸入一般伺服器憑證

如果使用 YaST 將伺服器憑證輸出到獨立 CA 管理電腦上的媒體中,您就可以在伺服器上將此憑證輸入為一般伺服器憑證。您可以在安裝期間或稍後使用 YaST 來執行這個動作。

[Note]

您需要使用其中一個 PKCS12 格式才能順利輸入憑證。

一般伺服器憑證儲存於 /etc/ssl/servercerts,並且可以透過任何 CA 支援的服務來使用此憑證。當憑證到期時,您可以使用相同的機制來輕易地更換憑證。若要開始使用更換的憑證,請重新啟動相關服務。

[Tip]

如果在此選取輸入,便可以在檔案系統中選取來源。這個選項也可以用來從傳輸媒體輸入憑證,例如 USB 隨身碟。

若要輸入一般伺服器憑證,請執行下列步驟:

  1. 啟動 YaST 並開啟安全性與使用者下的一般伺服器憑證

  2. YaST 啟動後,在說明欄位中檢視目前憑證的資料。

  3. 選取輸入和憑證檔案。

  4. 輸入密碼,並按一下下一步。憑證便會輸入並顯示在說明欄位中。

  5. 按一下完成以關閉 YaST。