پیکربندی یک تایید اعتبار مجاز(CA) در CentOS 8

(CA) Certificate Authority یک نهاد مسئول صدور گواهینامه های دیجیتال برای تأیید هویت در اینترنت است. اگرچه CA های عمومی یک انتخاب محبوب برای تأیید اعتبار وب سایت ها و سایر خدماتی هستند که به عموم مردم ارائه می شود ، CA های خصوصی معمولاً برای گروه های بسته و خدمات خصوصی استفاده می شوند.
ایجاد یک تایید اعتبار مجاز خصوصی برای شما امکان پیکربندی ، آزمایش و اجرای برنامه هایی را می دهد که نیاز به اتصالات رمزگذاری شده بین مشتری و سرور مجازی دارند. با داشتن یک CA خصوصی ، می توانید برای کاربران ، سرور مجازی ها یا برنامه ها و خدمات فردی در زیرساخت های خود گواهینامه صادر کنید.
برخی از نمونه برنامه های لینوکس که از CA خصوصی خود استفاده می کنند OpenVPN و Puppet هستند. همچنین می توانید سرور مجازی وب خود را برای استفاده از گواهینامه های صادر شده توسط یک CA خصوصی به منظور ایجاد محیط های توسعه و مرحله بندی با سرور مجازی های تولیدی که از TLS برای رمزگذاری اتصالات استفاده می کنند ، پیکربندی کنید.
در این راهنما ، می آموزیم که چگونه یک تایید اعتبار مجاز خصوصی را در سرور مجازی CentOS 8 تنظیم کنیم و نحوه تولید و امضاء یک گواهی آزمایشی با استفاده از CA جدید خود را میاموزید. همچنین یاد خواهید گرفت که چگونه می توانید گواهی عمومی سرور مجازی CA را در فروشگاه گواهینامه سیستم عامل خود وارد کنید تا بتوانید زنجیره اعتماد بین CA و سرور مجازی های از راه دور یا کاربران را تأیید کنید. در آخر یاد می گیرید که چگونه می توانید گواهی نامه ها را ابطال کنید و یک لیست ابطال مجوز توزیع کنید تا مطمئن شوید تنها کاربران و سیستم های مجاز می توانند از خدماتی استفاده کنند که به CA شما متکی هستند.
پیش نیازها
برای پیروی از این آموزش ، به سرور مجازی CentOS 8 با یک کاربر sudo فعال و غیر ریشه و فایروال تنظیم شده با firewalld نیاز دارید. برای تکمیل تنظیمات می توانید از راهنمای راه اندازی سرور مجازی اولیه با CentOS 8 پیروی کنید.
در این آموزش به این سرور مجازی CA Server گفته خواهد شد.
اطمینان حاصل کنید که CA Server یک سیستم مستقل است. فقط برای ورودی ، امضاء و ابطال درخواست گواهی استفاده می شود. این سرویس نباید خدمات دیگری را اجرا کند ، و در صورت کار نکردن با CA خود ، به صورت آفلاین یا کاملاً خاموش خواهد بود.
نکته: اگر می خواهید درباره امضا و ابطال گواهینامه ها بیاموزید ، آخرین بخش این آموزش اختیاری است. اگر تصمیم گرفتید که مراحل عملی را انجام دهید ، به سرور مجازی دوم CentOS 8 نیاز خواهید داشت یا می توانید از رایانه محلی لینوکس خود که دارای CentOS 8 ، Fedora یا یک مشتق RedHat است ، استفاده کنید.

مرحله 1 – نصب Easy-RSA
اولین کار در این آموزش نصب مجموعه اسکریپت هایeasy-rsa در سرور مجازی CA شما است. easy-rsa ابزاری برای مدیریت مجوز تایید هویت است که شما برای تولید یک کلید خصوصی و گواهی ریشه عمومی از آن استفاده خواهید کرد و سپس از آن برای امضای درخواست مشتری و سرور مجازی هایی که به CA شما اعتماد دارند استفاده خواهید کرد.
بسته easy-rsa به طور پیش فرض در CentOS 8 در دسترس نیست ، بنابراین شما نیاز به فعال کردن بسته های اضافی برای منبع Enterprise Linux (EPEL) دارید. EPEL توسط پروژه Fedora اداره می شود و شامل بسته های غیر استاندارد اما محبوب برای Fedora، CentOS و سایر توزیع های لینوکس است که از قالب بسته RPM استفاده می کنند. به عنوان کاربر sudo غیر ریشه ای که در مراحل اولیه راه اندازی ایجاد کرده اید به سرور مجازی CA خود وارد شوید و دستور زیر را اجرا کنید:
$ sudo dnf install epel-release

از شما خواسته می شود که بسته را دانلود و آن را نصب کنید. y را فشار دهید تا تأیید کنید که می خواهید بسته را نصب کنید.
اکنون بسته ی easy-rsa را نصب کنید ، دوباره در اعلان حاصل y وارد کنید:
$ sudo dnf install easy-rsa

در این مرحله شما همه موارد مورد نیاز خود را تنظیم کرده و آماده استفاده از Easy-RSA هستید. در مرحله بعدی یک زیرساخت کلید عمومی ایجاد می کنید ، و سپس ساخت Certificate Authority را شروع می کنید.
مرحله 2 – تهیه دایرکتوری زیرساخت کلید عمومی
اکنون که easy-rsa را نصب کردید ، زمان آن رسیده است که یک اسکلت زیرساخت کلید عمومی (PKI) را روی سرور مجازی CA ایجاد کنید. اطمینان حاصل کنید که هنوز به عنوان کاربر غیر ریشه خود در سیستم هستید و یک دیرکتوری easy-rsa ایجاد کنید. اطمینان حاصل کنید که برای اجرای هر یک از دستورهای زیر از sudo استفاده نمی کنید ، زیرا کاربر عادی شما باید بدون داشتن امتیاز بالا ، با CA مدیریت و تعامل کند.
$ mkdir ~/easy-rsa

این دستور یک دیرکتوری جدید به نام easy-rsa در پوشه هوم شما ایجاد می کند. ما از این دایرکتوری برای ایجاد پیوندهای نمادین با اشاره به فایل های بسته easy-rsa که در مرحله قبلی نصب کرده ایم استفاده خواهیم کرد. این فایل ها در پوشه / usr / share / easy-rsa / 3 در CA Server قرار دارند.
با دستور ln ، لینک ها را ایجاد کنید:
$ ln -s /usr/share/easy-rsa/3/* ~/easy-rsa/

توجه: در حالی که راهنماهای دیگر ممکن است به شما دستور دهند که فایل های بسته easy-rsa را در دیرکتوری PKI خود کپی کنید ، این آموزش یک رویکرد Symlink را به کار می گیرد. در نتیجه ، هرگونه بروزرسانی در بسته easy-rsa به طور خودکار در اسکریپت های PKI شما منعکس می شود.

برای محدود کردن دسترسی به دیرکتوری جدید PKI ، اطمینان حاصل کنید که فقط مالک می تواند با استفاده از دستور chmod به آن دسترسی داشته باشد:
$ chmod 700 /home/sammy/easy-rsa

سرانجام ، PKI را در دیرکتوری easy-rsa تنظیم کنید:
$ cd ~/easy-rsa

$ ./easyrsa init-pki

Output
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/sammy/easy-rsa/pki

پس از تکمیل این بخش دایرکتوری دارید که شامل تمام فایل هایی است که برای ایجاد یک مجوز تایید اعتبار لازم است. در قسمت بعدی کلید خصوصی و مجوز عمومی را برای CA خود ایجاد خواهید کرد.
مرحله 3 – ایجاد یک Certificate Authority
قبل از اینکه بتوانید کلید خصوصی و گواهی نامه CA خود را ایجاد کنید ، باید فایلی به نام vars را با مقادیر پیش فرض ایجاد و پخش کنید. ابتدا وارد دیرکتوری easy-rsa می شوید ، سپس فایل vars را با nano یا ویرایشگر متن مورد نظر خود ایجاد و ویرایش می کنید.
ویرایشگر متن پیش فرض که با CentOS 8 همراه است vi است. vi یک ویرایشگر متن بسیار قدرتمند است ، اما می تواند برای کاربرانی که فاقد تجربه با آن هستند ، تا حدودی خسته کننده باشد. برای تسهیل ویرایش فایل های پیکربندی روی سرور مجازی CentOS 8 خود ، بهتر است ویرایشگر کاربر پسند دیگری مانند nano را نصب کنید:
$ sudo dnf install nano

هنگامی که از شما خواسته می شود nano را نصب کنید y را زده تا مراحل نصب را ادامه دهید. اکنون آماده ویرایش فایل vars هستید:
$ cd ~/easy-rsa

nano vars
پس از باز شدن فایل ، سطرهای زیر را در آن پیست کنید و هر مقدار هایلایت شده را ویرایش کنید تا اطلاعات سازمانی شما را نشان دهد. بخش مهم در اینجا اطمینان از عدم خالی بودن هر یک از مقادیر است:
~/easy-rsa/vars
set_var EASYRSA_REQ_COUNTRY “US”
set_var EASYRSA_REQ_PROVINCE “NewYork”
set_var EASYRSA_REQ_CITY “New York City”
set_var EASYRSA_REQ_ORG “vpsgol”
set_var EASYRSA_REQ_EMAIL “admin@example.com”
set_var EASYRSA_REQ_OU “Community”

پس از اتمام ، فایل را ذخیره کنید و ببندید. اگر از nano استفاده می کنید ، می توانید این کار را با فشار دادن CTRL + X ، سپس Y و ENTER برای تأیید انجام دهید. اکنون آماده ساخت CA خود هستید.
برای ایجاد جفت کلید عمومی و خصوصی برای مجوز گواهی خود ، دستور ./easy-rsa را بار دیگر اجرا کنید ، این بار با گزینه build-ca:
$ ./easyrsa build-ca

در خروجی ، چند خط در مورد نسخه OpenSSL مشاهده خواهید کرد و از شما خواسته می شود یک عبارت عبور را برای جفت کلید خود وارد کنید. مطمئن باشید که یک عبارت عبور قوی را انتخاب کرده و در جایی امن آن را یادداشت کنید. شما باید هر بار که میخواهید با CA خود ارتباط برقرار کنید ، عبارت عبور را وارد کنید ، به عنوان مثال برای امضا یا ابطال مجوز.
همچنین از شما خواسته می شود نام معمولی (CN) را برای CA خود تأیید کنید. CN نامی است که برای ارجاع این دستگاه در مفهوم مجوز اختیارات استفاده می شود. می توانید هر سری از کاراکترها را برای نام مشترک CA وارد کنید اما به همین دلیل ، برای سادگی، ENTER را فشار دهید تا نام پیش فرض را بپذیرید.
Output
. . .یال منحصر به فرد مورد نظر در مرحله ابطال مورد استفاده قرار می گیرد. اکنون می توانید محتویات لیست ابطال مجوزهای خود را در مورد هر سیستمی که به آن متکی است برای محدود کردن دسترسی به کاربران و خدمات ، تأیید کنید.

نتیجه
در این آموزش شما با استفاده از بسته Easy-RSA بر روی یک سرور مجازی مستقل CentOS 8 یک مجوز خصوصی ایجاد کرده اید. آموختید که چگونه مدل اعتماد بین طرفینی که به CA اعتماد می کنند ، کار می کند. همچنین یک درخواست ثبت نام گواهینامه (CSR) را برای یک سرور مجازی تمرینی ایجاد و امضا کردید ، و سپس یاد گرفتید که چگونه یک گواهی را لغو کنید. سرانجام ، آموختید که چگونه یک لیست ابطال مجوز (CRL) برای هر سیستمی که به CA شما متکی است را تولید و توزیع کنید تا اطمینان حاصل شود که کاربران یا سرور مجازی هایی که نباید به خدمات دسترسی داشته باشند از انجام این کار منع می شوند.
اکنون می توانید مجوزهایی را برای کاربران صادر کرده و از آنها با خدماتی مانند OpenVPN استفاده کنید. همچنین می توانید از CA خود برای پیکربندی توسعه و تنظیم سرور مجازی های وب با گواهی نامه ها برای تأمین محیط های غیر تولیدی استفاده کنید. استفاده از CA با گواهینامه های TLS در حین توسعه می تواند اطمینان حاصل کند که کد و محیط شما تا حد ممکن با محیط تولید شما مطابقت دارند.
اگر می خواهید در مورد نحوه استفاده از OpenSSL بیشتر بیاموزید ، ملزومات OpenSSL ما: کار با گواهی های SSL ، کلیدهای خصوصی و آموزش CSR اطلاعات اضافی زیادی دارند که به شما کمک می کند تا با اصول OpenSSL بیشتر آشنا شوید.

از این لینک ها زیر می توانید آمورش های بیشتری برای لینوکس پیدا کنید :

پارامترهای پیش فرض در جاوا اسکریپت – اجرای چندین نسخه PHP بر روی یک سرور Debian 10

نحوه راه اندازی یک پروژه React با برنامه React – نصب و ایمن سازی phpMyAdmin در اوبونتو 18

پیکربندی یک تایید اعتبار مجاز(CA) در CentOS 8 – تنظیم برنامه Node.js برای تولید در CentOS 7

نصب MariaDB در اوبونتو 18.04 – ایمن کردن Apache با Let’s Encrypt در Debian 10

نحوه نصب Node.js در CentOS 8 – بازنویسی URL را با mod_rewrite برای Apache در Debian 10

راه اندازی فایروال با استفاده از firewalld در CentOS 8 – نصب وب سرور Apache در Debian 10

اضافه کردن و حذف کاربران در CentOS 8 – نصب Apache Tomcat 9 در Debian 10

نصب و استفاده از PostgreSQL در CentOS 8 – راه اندازی سرور اولیه با Debian 10

نصب MariaDB در CentOS 8 – چگونه با JSX عناصر واقعی ایجاد کنیم

نصب و پیکربندی VNC در Debian 10 – استفاده از سرور از راه دور Docker

نصب و ایمن سازی Grafana در اوبونتو 18 – نحوه نصب Git در CentOS 8