Easy-RSA 3 ile Kişisel Sertifika Hükümlerini (CA) Kurma

Easy-RSA 3 ile Kişisel Sertifika Hükümlerini (CA) Kurma

Easy-RSA3, Linux komut satırından çalışan, PKI CA (kök sertifika otoritesi) oluşturulmasını ve yönetilmesini sağlayan bir araç. OpenVPN ile birlikte dağıtıldığından, tanınan bir araç. OpenSSL komut satırı aracının üzerine yazılmış betiklerden oluşmakta. Başlıca özellikleri;

– Kök sertifika oluşturma ve imzalama
– Sertifika istek ve imzalama (request and sign)
– Alt kök sertifika yönetimi ( sub-CAs )
– Sertifika iptal listesi oluşturma ( CRL )​

Saydığımız bu özelliklerin kullanım örnekleri aşağıdaki gibi;

Açık anahtar altyapısının (PKI) oluşturulması
Easy-RSA‘nin kullanılabilmesi için öncelikle gerekli klasör yapısının oluşturulması gerekmekte. Farklı klasör isimleri ile birden çok PKI altyapısının yönetilmesi mümkün, varsayılan üst klasör adı PKI. Altyapının ilk kurulumunu aşağıdaki komut ile tamamlayalım;

Kod:
./easyrsa init-pki

Bu komut her çalıştırıldığında tüm yapı sıfırlanıyor.

Kök sertifikanın oluşturulması
Sertifika isteklerini (CSR) imzalayabilmek için bir sertifika otoritesine (CA) ihtiyacımız var. Kurduğumuz PKI için bir CA anahtar çifti oluşturalım;

Kod:
./easyrsa build-ca

Sorulduğunda güçlü bir parola girmemiz önemli, PKI yapısında en yüksek güvenlik gerektiren bileşen CA gizli anahtarıdır. Belirlediğimiz bu parolayı daha sonra sertifika imzalarken kullanacağız. Bu adım tamamlandığında bir açık anahtarımız (ca.crt) ve bir gizli anahtarımız (ca.key) oluşturulup PKI klasör yapısındaki yerlerine kopyalanır.

Kod:
./easyrsa import-req istekDosyasi.req istekAdı

İsteğin ayrıntılarını görüntüleyelim;

Kod:
./easyrsa show-req istekAdı

İsteği imzalarken kullanılabilecek üç farklı parametre bulunuyor. Bunlar CLIENT, SERVER ve CA. İhtiyacımıza uygun sertifika türünü belirleyerek imzalama işlemini tamamlayalım;

Kod:
./easyrsa sign server istekAdı

Bu adımdan sonra imzalı sertifika PKI yapısındaki ISSUED klasörünün altına kopyalanır. İmzalayacağımız sertifikada CN (common name) alanı tanımlı olmalı.

İmzalanan sertifikanın iptal (revoke) edilmesi ve CRL’nin yayınlanması
Çeşitli nedenlerden dolayı, imzalanan bir sertifikayı iptal edelim;

Kod:
./easyrsa revoke istekAdı

İptal (revoke) edilen sertifikaları CRL (certificate revoke list) dosya türünde yayına hazır hale getirelim;

Kod:
./easyrsa gen-crl

Anahtar çifti ve istek oluşturma
Easy-RSA ile tek seferde anahtar oluşturmak ve imza isteğinde bulunmak mümkün. Yukarıda açıkladığım gibi bu isteği CA ile imzalayarak otorite imzalı sertifikayı elde ederiz.

Kod:
./easyrsa gen-req istekAdı

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir