Certyfikat X.509 w trzy minuty

Serwer HTTPS, serwer pocztowy z szyfrowaniem SMTP, bezpieczny serwer POP3 lub IMAP, bramka VPN i szyfrowanie w programie pocztowym - co łączy wymienione technologie? To, że wszystkie wykorzystują certyfikaty X.509.

Uruchomienie każdej z nich we współczesnych systemach operacyjnych - czy będzie to Linux czy Windows - zajmuje zwykle nie więcej niż czas potrzebny na zainstalowanie odpowiedniego oprogramowania. Wtedy zwykle dochodzimy do punktu konfiguracji, w którym trzeba wkleić lub wskazać plik zawierający certyfikat X.509 i zaczynają się schody...

Certyfikat oczywiście można kupić w jednym z wielu komercyjnych centrów certyfikacji, czy to w Polsce czy na świecie. W przypadku publicznego serwera WWW przetwarzającego np. dane osobowe nie należy się nawet zastanawiać nad alternatywnymi rozwiązaniami (patrz artykuł "Po co nam SSL?"), ale w przypadku rozwiązań działających wyłącznie w sieci prywatnej lub w gronie zaufanych klientów kupowanie publicznie rozpoznawalnych certyfikatów może być zupełnie niepotrzebnym wydatkiem.

Certyfikaty X.509 może wystawiać każdy i certyfikaty takie mogą być łatwo rozpoznawalne przez przeglądarkę, jeśli zainstalujemy w systemie certyfikat stanowiący korzeń drzewa certyfikacji ("root"). Na rynku można znaleźć oprogramowanie do budowy centrów certyfikacji w dowolnej skali i w dowolnym przedziale cenowym, od zera do setek tysięcy dolarów:

- proste oprogramowanie darmowe, w tym narzędzia command-line z biblioteki OpenSSL czy graficzna aplikacja XCA

- oprogramowanie darmowe do zastosowań profesjonalnych, jak zbudowane na bazie OpenSSL i Perla pakiety OpenCA i OpenXPKI (http://www.openxpki.org/) oraz oparty o Javę i serwer JBoss pakiet EJBCA

- oprogramowanie komercyjne średniej klasy, takie jak Microsoft Certificate Services

- oprogramowanie komercyjne z wyższej półki, takie jak RSA Certificate Manager (KEON), Entrust Authority czy Cybertrust Unicert (dawniej Baltimore)

Omówieniu każdego z tych pakietów możnaby spokojnie poświęcić książkę, ze względu na to że są to systemy przeznaczone do kompleksowego zarządania rejestracją użytkowników oraz wydawaniem i kompleksową obsługą certyfikatów w skali masowej.

Między innymi z tego powodu w codziennej praktyce administratorskiej uruchomienie usług opartych o X.509 jest kłopotliwe - uruchomienie trywialnej poza tym usługi szyfrowania POP3 czy IMAP wymaga zaangażowania się w budowę całej struktury PKI, która dodatkowo jest dość hermetyczna ze względu na specyficzną filozofię i terminologię.

Ponieżej przedstawiamy scenariusz uruchomienia prostego centrum certyfikacji opartego o darmową, graficzną aplikację XCA. Z powodzeniem może być ona stosowana zarówno do szybkiego uruchomienia tunelu SSL opartego o dwa certyfikaty, jak i zarządzania certyfikatami dla kilkudziesięciu użytkowników korzystających z różnych, wymagających PKI usług w danej organizacji.


TOP 200