25 使用 XCA、X 证书和密钥管理器管理 PKI #
传统上,您自己的公共密钥基础架构 (PKI) 是使用 openssl
实用程序管理的。对于习惯使用图形工具的管理员,SUSE Linux Enterprise Desktop 15 SP6 提供了 XCA,即 X 证书和密钥管理工具 (https://hohnstaedt.de/xca)。
XCA 可创建和管理 X.509 证书、证书请求、RSA、DSA 和 EC 私用密钥、智能卡以及证书吊销列表 (CRL)。XCA 会为您提供创建和管理自己的证书颁发机构 (CA) 所需的一切支持。XCA 包含可用于生成证书或请求的可自定义模板。本章将介绍基本设置。
25.1 安装 XCA #
XCA 由 xca 软件包提供:
>
sudo
zypper in xca
25.2 创建新 PKI #
XCA 将所有加密数据都存储在数据库中。当您首次使用 XCA 创建新 PKI 时,必须先单击图 25.1 “创建新 XCA 数据库”)。
创建一个新数据库(25.2.1 创建新的根 CA #
以下步骤说明如何创建新的根 CA。
单击
选项卡。单击
按钮。单击
选项卡。在窗口底部的 下,选择 模板,然后单击 。单击
选项卡。创建一个 用于在内部标识新的根 CA(仅在 XCA 内部)。填写
部分中的字段。使用 按钮添加任何其他元素(如果需要)。在
下拉列表中选择您的首选私用密钥(如果有),或者生成一个新密钥。单击
选项卡。根据需要编辑任何属性。默认 为 10 年。证书吊销列表分发点将成为颁发的证书的一部分。最好为所有证书使用一个通用 URL,例如 http://www.example.com/crl/crl.der。完成后,单击 按钮。
25.2.2 创建已签名的主机证书 #
下一步是创建由新证书颁发机构签名的主机证书。
单击
选项卡,然后单击 按钮。在第 25.2.1 节 “创建新的根 CA”中创建的证书。
选项卡上选择 ,然后单击 按钮。这样会在 、 和 选项卡中输入相应的值。在 部分,选择在单击
选项卡。创建一个用于在 XCA 中显示的内部名称。最好使用主机名或完全限定的域名。然后填写 部分中的字段。对于主机证书,通用名必须是您的用户使用的 FQDN。此名称可以是主机的规范名称,也可以是别名。例如,如果 jupiter.example.com 是您的 Web 服务器,并且它具有 DNS CNAME 项 www.example.com,那么,您可以使用 www.example.com 作为证书中的 值。要在判别名中添加任何其他组成部分,请使用下拉框和“添加”按钮。选择所需的私用密钥,或生成一个新密钥。单击
选项卡。默认 为 1 年。如果您更改了此设置,请单击 按钮。建议指定证书吊销列表位置。此根证书的位置必须是唯一的。XCA 以 PEM 或 DER 格式导出 CRL 并会添加相应的后缀,因此在选择 URL 时应考虑到这点,例如,选择 http://www.example.com/crl/crl.der 这样的 URL。在
行中,单击 按钮。键入您的 URI,然后单击 。单击 和 。单击
按钮。
25.2.3 吊销证书 #
单击
选项卡。右键单击您要吊销的证书,然后单击
。右键单击为您要吊销的证书签名的 CA 证书。单击
。在
对话框中单击 按钮。在主窗口中单击
选项卡。右键单击刚刚生成的 CRL 并选择 。选择所需的格式 (DER),然后单击 。将导出的 CRL 复制到所颁发证书的
中发布的位置。