Als systeembeheerder kom je niet zo heel vaak met ssl-certificaten in aanraking, maar de weinige keren dat je je er wel in moet verdiepen zijn heel belangrijk. Met ssl-certificaten authenticeer je immers servers of clients en versleutel je het netwerkverkeer, en dat moet natuurlijk wel correct gebeuren. Ben je niet zo vertrouwd met het commandline-programma van OpenSSL, dan kan het grafische programma TinyCA je onder Linux helpen.

Grafisch beheer

TinyCA is een Gtk-programma dat een grafische front-end aanbiedt voor het eenvoudig creëren en beheren van ssl-sleutels en -certificaten. Hierdoor hoef je niet meer de juiste OpenSSL-commando's te onthouden en krijg je op een grafische manier een handig overzicht van al je certificaten en sleutels, inclusief je eigen CA (certificaatautoriteit).

Het eerste wat je in TinyCA doet is een nieuwe CA aanmaken. Naast de identificerende gegevens kun je hier ook het gebruikte algoritme, de sleutellengte en het aantal dagen geldigheid kiezen. Nadat het CA-certificaat aangemaakt is, krijg je het beheervenster van TinyCA te zien met tabbladen CA, Certificates, Keys en Requests, evenals allerlei knoppen die voor zich spreken en de meest voorkomende taken in verband met certificaten en sleutels aanbieden.

Nieuw certificaat

Daarna creëer je een certificate request voor een servercertificaat door in het tabblad Requests te rechtsklikken en voor New Request te kiezen. Hierin vul je de gegevens van de server in en kun je weer het algoritme en de sleutellengte kiezen. Het certificate request verschijnt dan in het tabblad Requests, en door hierop te rechtsklikken en Sign Request te kiezen kun je dit als server- of clientcertificaat ondertekenen en de geldigheidsduur ingeven. Het resultaat is een door de CA ondertekend certificaat, te vinden in het tabblad Certificates.

Verder kun je certificaten en sleutels in TinyCA exporteren naar een bestand in pem-, der-, txt- of p12-formaat, en je kunt ook eenvoudig certificaten intrekken of vernieuwen. Meerdere CA's en zelfs het creëren en beheren (zoals intrekken of hernieuwen) van sub-CA's zijn mogelijk. Kortom, wie niet met OpenSSL-commando's wil goochelen maar toch met heel wat ssl-sertificaten te maken heeft, kan zich met TinyCA heel wat werk besparen.