Certification authority (CA)

Zentyal, Sertifikasyon Otoritesinin yönetimi ve verilen sertifikaların yaşam döngüsü için OpenSSL® (4) kullanmaktadır.

[4] http://www.openssl.org/

Zentyal ile Sertifika Yetkilisi yapılandırması

Zentyal’da, Sertifika Yetkilisi modülü kendi kendini yönetir, bu da Modül durumunda etkinleştirilmesinin gerekmediği anlamına gelir. Bununla birlikte, CA’yı, diğer işlevler için kullanılabilen modülün işlevselliğini yapmak üzere başlatmanız gerekir.

Sertifika Yetkilisine gidin ‣ Genel ve CA’yı oluşturmak için formu bulacaksınız. Alanları sonlandırmak için Kuruluş Adı ve Günlerini doldurmanız gerekir. İsteğe bağlı olarak, Ülke kodunu (ISO-3166-1 standardını (5) izleyen iki harfli bir kısaltma), Şehir ve Eyaleti belirtmek mümkündür.

 

 

 

 

 

 

Son kullanma tarihini belirlerken, geçerlilik süresi dolduğunda, bu CA tarafından verilen tüm sertifikaların iptal edileceğini ve bu sertifikalara bağlı olarak tüm hizmetlerin durdurulacağını dikkate almanız gerekir.

CA başlatıldıktan sonra sertifika verebileceksiniz. Gerekli veriler sertifikanın Ortak Adı ve süresinin dolması gereken Günlerdir. Bu son alan, hiçbir sertifikanın CA’dan daha uzun süre geçerli olmaması gerçeği ile sınırlıdır. Sertifika, posta sunucusu gibi bir hizmet için kullanıyorsanız, sertifikanın Ortak Adı, bu sunucunun etki alanı adıyla eşleşmelidir. Örneğin, posta sunucunuza Zentyal’da erişmek için hq.zentyal.org alan adını kullanıyorsanız, aynı Ortak Ada sahip bir sertifikaya ihtiyacınız olacaktır. Bir kullanıcı sertifikası ayarlıyorsanız, Genel Ad genellikle kullanıcının e-posta adresi olacaktır.

İsteğe bağlı olarak, sertifika için Konu Alternatif Adlarını (6) ayarlayabilirsiniz. Bunlar, sertifikaya ortak adlar atarken, örneğin e-posta mesajlarını imzalarken bir e-posta adresi oluştururken kullanışlıdır.

Sertifika verildikten sonra, sertifika listesinde görünecek ve yönetici ve diğer modüllerin kullanımına sunulacak. Sertifika listesi aracılığıyla sertifikalarda çeşitli eylemler gerçekleştirebilirsiniz:

Genel anahtarı, özel anahtarı ve sertifikayı indirin.
Sertifikayı yenileyin.
Sertifikayı iptal et.
Önceden iptal edilmiş veya süresi geçmiş bir sertifikayı yeniden yayınlayın.

 

Anahtarlar içeren paket ayrıca özel anahtar ve sertifikaya sahip bir PKCS12 dosyası içerir ve doğrudan web tarayıcıları, posta istemcileri, vb. Gibi diğer programlara yüklenebilir.

Bir sertifikayı yenilediğinizde, geçerli sertifika iptal edilecek ve yeni son kullanma tarihi olan yeni bir tane verilecektir. Ayrıca, CA’yı yenilediğiniz takdirde, eski geçerlilik tarihini tutmaya çalışan yeni sertifikalarla tüm sertifikalar yenilenir. Bu, CA’nın geçerlilik süresinin dolmasından sonra mümkün olmadığı takdirde, son kullanma tarihi CA’nın biri olarak ayarlanır.

 

 

 

 

 

 

Sertifikayı yenilemek
Bir sertifikayı iptal ederseniz, artık bu işlem kalıcı olduğu için kullanılamaz ve geri alınamaz. İsteğe bağlı olarak, sertifika iptalinin nedenini seçebilirsiniz:

belirtilmemiş: nedeni belirtilmemiş,
keyCompromise: özel anahtarın güvenliği ihlal edildi,
CACompromise: sertifika yetkilisi için özel anahtar
ele geçirildi,

affilliationChanged: verilen sertifika değişti
başka bir kuruluştan başka bir sertifika yetkilisine bağlanma,

Yerine geçmiş: sertifika yenilendi ve şimdi
yenisi ile değiştirilir,

işten çıkarmaOfOperation: sertifika yetkilisi işlemlerini durdurdu,
certificateHold: sertifikalı askıya alındı,
removeFromCRL: şu anda kullanılmayan, sağlar
delta CRLs desteği, yani iptal durumu değişmiş olan sertifikaların listesi.

 

 

 

 

 

Bir sertifika süresi dolduğunda tüm modüller bilgilendirilir. Her sertifikanın son kullanma tarihi, günde bir kez ve sertifika listesi sayfasına her eriştiğinizde otomatik olarak kontrol edilir.

[5] http://en.wikipedia.org/wiki/ISO_3166-1
[6] Konu ile ilgili alternatif isimler hakkında daha fazla bilgi için,
http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name

Hizmetler Sertifikaları

Sertifika Yetkilisi Hakkında ‣ Servis Sertifikaları, operasyonları için sertifikaları kullanarak Zentyal modüllerinin listesini bulabilirsiniz. Her modül kendi imzasını taşıyan sertifikaları üretir, ancak bunları CA’nız tarafından verilen diğerleriyle değiştirebilirsiniz.

Ortak Adını tanımlayarak her hizmet için bir sertifika oluşturabilirsiniz. Eğer adı taşıyan eski bir sertifika yoksa, CA otomatik olarak oluşturur.

 

Etkinleştirildikten sonra, modülü yeni sertifikayı kullanmaya zorlamak için hizmeti yeniden başlatmanız gerekir. Bu, bir modül için sertifikayı yenilediğinizde de geçerlidir.

Daha önce de belirtildiği gibi, çoklu protokollerin (posta gibi) güvenli sürümünü kullanmak için, sertifikanın “Ortak adı” nda görünen adın, istemcinin istediği adla eşleşmesi önemlidir. Örneğin, posta sertifikanızın Ortak adı hq.zentyal.org ve istemci mail.hq.zentyal.org’daki istemci türleri ise, istemci bir güvenlik uyarısı gösterir (veya bağlantıyı reddeder) ve sertifika geçerli olmayan olarak kabul edilir.

Servis sertifikası kontrol listesi:

Sertifika Yetkilisi oluşturuldu, servis modülü kuruldu.
İstemcinin çözebileceği hizmet (A veya CNAME) için bir DNS adı oluşturdunuz, örneğin ‘mail.hq.zentyal.org’.
Belirli bir hizmet için bir sertifika düzenlerseniz, ‘Mail.hq.zentyal.org’ Ortak Adında ‘Mail’ yazalım ve bundan sonra
Sertifika Yetkilisine certificate Genel olarak bakacağını görebilmeniz için sertifikayı etkinleştirirsiniz.

Posta için güvenli protokolleri etkinleştirdiniz.
CA sertifikasını (hizmet sertifikasını değil) istemcinin sisteminde veya istemci uygulamasında aldınız, diyelim ki posta istemcisini.
Kullanıcı postaları mail.hq.zentyal.org olarak yapılandırır.
Kullanıcı DNS’yi bir IP adresine çözebilir, Ortak Ad, “mail.hq.zentyal.org” yazdıklarına tam olarak uyuyor ve
Hizmet tarafından sunulan sertifika, güvenilir bir Makam tarafından imzalanır.

Kullanıcı uygulaması herhangi bir güvenlik uyarısı göstermeden güvenli bir oturum başlatabilir