YaST 針對基本 CA 管理提供了兩種模組。此處將說明使用這些模組的主要管理工作。
設定 PKI 時的首要步驟是建立一個根 CA。請進行下列幾項操作:
啟動 YaST,並移至
+ 。按一下
。在第一個對話方塊輸入 CA 的基本資料,如圖形 42.1 「YaST CA 模式 — 根 CA 的基本資料」所示。文字欄位代表下列意義:
輸入 CA 的技術名稱。包括目錄名稱在內的其他項目皆衍生自此名稱,這也是為何只能使用說明中列出的字元的原因。當啟動模組時,技術名稱也會顯示於概觀中。
輸入用來參照 CA 的名稱。
在此可輸入數個電子郵件地址,以便供 CA 使用者查看。這對查詢有所幫助。
選取進行 CA 操作的國家。
選擇性設定值
按一下「下一步」。
在第二個對話方塊中輸入密碼。當建立子 CA 或產生憑證時,若使用 CA,都會要求輸入此密碼。文字欄位代表下列意義:
包含有意義的預設值,除非應用程式無法處理此金鑰長度,否則通常無須變更金鑰長度。
CA 預設的
是 3650 天 (約十年)。長時間是合理的,因為取代刪除的 CA,牽涉到大量的管理工作。按一下圖形 42.4 「YaST CA 模組 — 延伸設定」)。這些值具有合理的預設值。只有當您有相當自信時,才應變更此值。
可開啟對話方塊,以設定 X.509 延伸的不同屬性 (YaST 顯示目前設定以供確認。按一下
。根 CA 已建立並隨後顯示在概觀中。![]() | |
一般來說,最好不要允許根 CA 發行使用者憑證。最好至少建立一個子 CA,並從那裡建立使用者憑證。此方法的優點是可將根 CA 隔離開來以保護其安全,舉例來說,將根 CA 放在隔離的電腦上以加強安全性。在此狀況下,要攻擊根 CA 就變得非常困難。 |
子 CA 的建立方式與根 CA 完全一樣。請進行下列幾項操作:
啟動 YaST 並開啟 CA 模組。
選取所需 CA 並按一下
。![]() | |
子 CA 的有效期必須完全在「上層」 CA 的有效期之內。因為子 CA 一定是在「上層」 CA 之後建立,因此預設值會產生錯誤訊息。若要避免,請輸入有效期限允許值。 |
如果是第一次輸入 CA,請輸入密碼。YaST 會在索引標籤圖形 42.2)。
中顯示 CA 金鑰資訊 (請參閱按一下
並選取 。此步驟所開啟的對話方塊,和建立根 CA 一樣。依 第 42.2.1 節「建立根 CA」 所述進行。
選取索引標籤第 42.2.5 節「建立 CRL 」 所述。
。使用 以在此重新設定外洩的子 CA 或不需要的子 CA。單憑撤銷不足以停用子 CA。還要在 CRL 中發佈撤銷的子 CA。CRL 的建立步驟如結束時按一下
。建立用戶端與伺服器憑證與第 42.2.1 節「建立根 CA」中的建立 CA 程序十分相近。此處也適用相同的原則。在用於電子郵件簽章的憑證中應該包含寄件者 (私密金鑰擁有者) 的電子郵件地址,電子郵件程式才能指派正確的憑證。若要加密時進行憑證指派,憑證中必須包含收件人 (公用金鑰擁有者) 的電子郵件地址。如果是伺服器和用戶端憑證,則必須在 欄位中輸入伺服器的主機名稱。憑證預設有效期限是 365 天。
若要建立用戶端和伺服器憑證,請執行下列步驟:
啟動 YaST 並開啟 CA 模組。
選取所需 CA 並按一下
。如果是第一次輸入 CA,請輸入密碼。YaST 會在
索引標籤中顯示 CA 金鑰資訊。按一下圖形 42.3 「CA 憑證」)。
(請參閱按一下
+ ,並建立伺服器憑證。按一下
+ ,並建立用戶端憑證。請不要忘記輸入電子郵件地址。結束時按一下
。若要撤銷外洩或不要的憑證,請執行下列步驟:
啟動 YaST 並開啟 CA 模組。
選取所需 CA 並按一下
。如果是第一次輸入 CA,請輸入密碼。YaST 會在
索引標籤中顯示 CA 金鑰資訊。選取要撤銷的憑證,並按一下
。選擇要撤銷此憑證的原因。
結束時按一下
。![]() | |
單憑撤銷動作不足以停用憑證。還要在 CRL 中發佈撤銷憑證。第 42.2.5 節「建立 CRL 」說明了如何建立 CRL。在 CRL 發佈撤銷憑證後,即可使用 將撤銷的憑證完全移除。 |
前幾節說明了如何建立子 CA、用戶端憑證和伺服器憑證。特殊設定則用於 X.509 憑證的延伸。這些設定已賦予合理的預設值可供所有的憑證類型使用,通常這些設定是不需要變更的。不過,您也許對這些延伸有特定需求。在這種情況下,您可以調整預設值。否則,每次您都要從頭開始建立憑證。
啟動 YaST 並開啟 CA 模組。
輸入必要 CA,如 第 42.2.2 節「建立子 CA 或撤銷子 CA」 所述。
按一下
+ 。選擇要變更的設定類型。接著會開啟如 圖形 42.4 「YaST CA 模組 — 延伸設定」 所示的對話方塊,以供變更預設值。
在右邊變更相關值,並使用
來設定或刪除關鍵設定。按一下
來檢視簡短摘要。完成變更後按一下
。![]() | |
所有的預設值變更只會影響此後所建立的物件。已存在的 CA 和 憑證保持不變。 |
若有外洩憑證或不要的憑證應加以排除以免之後再次用到,首先必須將這類憑證撤銷。第 42.2.2 節「建立子 CA 或撤銷子 CA」 (適用於 CA) 與第 42.2.3 節「建立或撤銷使用者憑證」 (適用於使用者憑證) 中會詳細說明這個程序。之後,必須使用此資訊來建立及發佈 CRL。
系統只會為每個 CA 維護一個 CRL。若要建立或更新此 CRL,請執行下列步驟:
啟動 YaST 並開啟 CA 模組。
輸入必要 CA,如 第 42.2.2 節「建立子 CA 或撤銷子 CA」 所述。
按一下
。開啟的對話方塊會顯示 此 CA 的上一個 CRL 的摘要。如果您在 CRL 建立之後曾撤銷新的子 CA 或憑證,請使用
來建立新的 CRL。指定新 CRL 的有效期限 (預設值:30 天)。
按一下
來建立和顯示 CRL。之後,您必須發佈此 CRL。![]() | |
如果無法取得 CRL 或 CRL 到期,評估 CRL 的應用程式將會拒絕每個憑證。身為 PKI 提供者,您有責任在目前的 CRL 到期之前 (有效期間內),建立及發佈新的 CRL。YaST 未提供自動化這項程序的功能。 |
執行中的電腦必須透過 YaST LDAP 用戶端來設定,以執行 LDAP 的輸出。此程序會提供執行階段之 LDAP 伺服器資訊供您填寫對話方塊欄位。否則,雖然可以採取輸出方式,所有 LDAP 資料還是必須以手動方式來輸入。您必須輸入數個密碼 (請參閱 表格 42.3 「LDAP 輸出期間的密碼」)。
表格 42.3. LDAP 輸出期間的密碼
密碼 | 代表意義 |
---|---|
LDAP 密碼 | 授權使用者在 LDAP 樹狀結構中建立項目。 |
憑證密碼 | 授權使用者輸出憑證。 |
新的憑證密碼 | LDAP 輸出時會使用 PKCS12 格式。此格式會強制指定新的密碼給輸出的憑證。 |
憑證、 CA 和 CRL 都可輸出至 LDAP。
若要輸出 CA,請輸入 CA,如第 42.2.2 節「建立子 CA 或撤銷子 CA」所述。在接下來的對話方塊中,選取 + ,這會開啟用來輸入 LDAP 資料的對話方塊。如果您的系統已透過 YaST LDAP 用戶端設定,則這些欄位中有一部分已填入資料。否則,請以手動方式輸入所有資料。利用 「caCertificate」 屬性,於個別樹的 LDAP 中建立項目。
輸入含有要輸出憑證的 CA,接著選取userCertificate」 (PEM 格式) 和 「userPKCS12」 (PKCS12 格式)。
。從對話方塊上方的憑證清單中,選取需要的憑證,接著選取 + 。使用和 CA 相同的方式,在此處輸入 LDAP 資料。此憑證會與 LDAP 樹狀結構中的相對應使用者物件一起儲存,並包含屬性 「輸入含有 CRL 的 CA 以便進行輸出,並選取
。若有需要,請建立新的 CRL 並按一下 。隨即開啟的對話方塊將顯示輸出參數。您可以一次性或在固定的時間間隔內輸出此 CA 的 CRL。透過選取 啟用輸出並分別輸入 LDAP 資料。若要在固定時間間隔內執行此動作,請選取 選項圓鈕並變更間隔 (如果適合的話)。如果已在電腦上設定了供管理 CA 使用的儲存庫,您可以使用此選項,於正確的位置上直接將 CA 物件建立成一個檔案。可以使用多種不同的輸出格式,例如 PEM、DER 以及 PKCS12。如果是 PEM,也可能選擇輸出憑證時包含還是不包含金鑰,以及金鑰是否應加密。如果是 PKCS12,則您也可以將憑證路徑輸出。
以 LDAP 的相同方法輸出憑證、CA 的檔案,如第 42.2.6 節「將 CA 物件輸出至 LDAP 」所述,不同之處僅在於要選取 而非 。接著會出現一個對話方塊,讓您選取必要的輸出格式及輸入密碼和檔案名稱。按一下 之後,該憑證會儲存到所需的位置。
對於 CRL,請按一下
,選取 ,選擇輸出格式 (PEM 或 DER) 並輸入路徑。繼續按 將其儲存到相應位置。![]() | |
您可以在任何檔案系統中選取任一儲存位置。這個選項也可以用來將 CA 物件儲存在傳輸媒體上,例如 USB 晶片組。/media |
如果使用 YaST 將伺服器憑證輸出到獨立 CA 管理電腦上的媒體中,您就可以在伺服器上將此憑證輸入為一般伺服器憑證。您可以在安裝期間或稍後使用 YaST 來執行這個動作。
![]() | |
您需要使用其中一個 PKCS12 格式才能順利輸入憑證。 |
一般伺服器憑證儲存於 /etc/ssl/servercerts,並且可以透過任何 CA 支援的服務來使用此憑證。當憑證到期時,您可以使用相同的機制來輕易地更換憑證。若要開始使用更換的憑證,請重新啟動相關服務。
![]() | |
如果在此選取 ,便可以在檔案系統中選取來源。這個選項也可以用來從傳輸媒體輸入憑證,例如 USB 隨身碟。 |
若要輸入一般伺服器憑證,請執行下列步驟:
啟動 YaST 並開啟
下的 。YaST 啟動後,在說明欄位中檢視目前憑證的資料。
選取
和憑證檔案。輸入密碼,並按一下
。憑證便會輸入並顯示在說明欄位中。按一下
以關閉 YaST。