CA وإدارة الثقة
إنشاء سلطات شهادات محلية، وإدارة دورة حياتها، وتثبيتها في مخازن ثقة النظام وFirefox وJVM وWindows. هذا أساس PKI الخاصة بـElide — كل شيء آخر (generate، trust، verify) يُبنى فوق CA التي تُنشئها هنا.
---
إنشاء CA
elide crt caينشئ هذا سلطة شهادات ECDSA P-256 باسم "Elide Local CA" بفترة صلاحية 10 سنوات ويحفظها في دليل PKI الخاص بالمنصة (عادةً ~/.local/share/elide/pki/ca/ على Linux). يمكن لـCA بعد ذلك توقيع الشهادات الورقية عبر elide crt generate والوثوق بها على مستوى النظام عبر elide crt trust.
إذا كانت CA موجودة بالفعل، يرفض الأمر الكتابة فوقها ويقترح استخدام --show أو --force.
نوع مفتاح وصلاحية مخصصان
elide crt ca --key-type ecdsa-p384 --days 1825 --name "My Dev CA"خوارزميات المفاتيح المدعومة
| القيمة | الخوارزمية | ملاحظات |
|---|---|---|
ecdsa-p256 | ECDSA مع NIST P-256 | الافتراضي. أفضل توازن بين الأداء والتوافق |
ecdsa-p384 | ECDSA مع NIST P-384 | منحنى أقوى، توقيعات أكبر قليلاً |
ed25519 | Edwards-curve Ed25519 | توقيع سريع، مفاتيح مدمجة. بعض العملاء القدامى قد لا يدعمونه |
p256 لـecdsa-p256، p384 لـecdsa-p384.
CA وكيل MITM
يستخدم الوكيل الأمامي (elide fwd) CA منفصلة لاعتراض TLS، عازلاً الشهادات الموقّعة بـMITM عن CA التطوير:
elide crt ca --proxyينشئ هذا CA ثانية تحت دليل proxy-ca/ الفرعي باسم "Elide Local CA (Proxy)". تُدار CA الوكيل وCA الرئيسية بشكل مستقل — لكل منهما شهادتها ومفتاحها الخاص.
عرض CA موجودة
عرض تفاصيل CA موجودة بدون إعادة إنشائها:
elide crt ca --showلـCA الوكيل:
elide crt ca --show --proxyيتضمن الإخراج الموضوع، والمُصدِر، والبصمة (SHA-256)، وتواريخ الصلاحية، وخوارزمية المفتاح، واستخدام المفتاح. أضف --json لمخرجات مُهيكلة.
سجل شفافية الشهادات
تفعيل سجل شفافية شهادات مُضمّن لـCA. عند التكوين، كل شهادة تُصدرها هذه CA تُقدَّم إلى السجل، ويُضمَّن SCT (الطابع الزمني الموقَّع للشهادة) الناتج في الشهادة كملحق X.509 (OID 1.3.6.1.4.1.11129.2.4.2):
elide crt ca --ct-log ./ct-dataالكتابة فوق CA موجودة
افتراضيًا، يرفض elide crt ca الكتابة فوق CA موجودة. استخدم --force لإعادة الإنشاء:
elide crt ca --forceدليل إخراج مخصص
تخزين CA في دليل محدد بدلاً من مخزن PKI الافتراضي:
elide crt ca --out-dir /opt/elide/pki---
مرجع سطر الأوامر: ca
elide crt ca [OPTIONS]| العلَم | الافتراضي | الوصف |
|---|---|---|
—name | Elide Local CA | الاسم الشائع لشهادة CA |
—days | 3650 | فترة الصلاحية بالأيام (افتراضي: 10 سنوات) |
—key-type | ecdsa-p256 | خوارزمية المفتاح: ecdsa-p256 أو ecdsa-p384 أو ed25519 |
—out-dir | افتراضي المنصة | دليل إخراج ملفات CA |
—proxy | false | إنشاء CA وكيل MITM منفصلة |
—show | false | عرض معلومات CA الموجودة بدلاً من إنشاء واحدة جديدة |
—force | false | الكتابة فوق CA موجودة |
—ct-log | لا شيء | تفعيل سجل شفافية الشهادات المُضمّن (حدّد مسار دليل البيانات) |
—json | false | الإخراج بصيغة JSON |
الوثوق بـCA
تثبيت CA المحلية لـElide في مخزن ثقة نظام التشغيل حتى تُقبل الشهادات الموقّعة بها من المتصفحات وcurl وعملاء TLS الأخرى:
sudo elide crt trust—system لمخزن الجهاز (يتطلب المسؤول). استخدم —dry-run لمعاينة الأوامر بدون تنفيذها.دعم المنصات
يكتشف Elide مخزن ثقة المنصة تلقائيًا:| المنصة | الخلفية | الآلية |
|---|---|---|
| Debian، Ubuntu | update-ca-certificates | النسخ إلى /usr/local/share/ca-certificates/ |
| RHEL، Fedora | update-ca-trust | النسخ إلى /etc/pki/ca-trust/source/anchors/ |
| توزيعات Linux مختلفة | p11-kit trust | تشغيل trust anchor —store |
| macOS | أداة security | الإضافة إلى سلسلة مفاتيح المستخدم أو النظام |
| Windows | certutil.exe / PowerShell | الاستيراد إلى CurrentUser\Root أو LocalMachine\Root |
الوثوق بملف شهادة محدد
بدلاً من CA المحلية الافتراضية لـElide، يمكن الوثوق بأي شهادة CA بترميز PEM:
sudo elide crt trust /path/to/custom-ca.crtالوثوق بـCA الوكيل
sudo elide crt trust --proxyمخزن NSS لـFirefox
يستخدم Firefox قاعدة بيانات شهاداته الخاصة لكل ملف تعريف (cert9.db). استخدم --firefox لتثبيت CA في جميع ملفات تعريف Firefox المُكتشفة عبر certutil:
sudo elide crt trust --firefoxمخزن ثقة JVM (cacerts)
تستخدم تطبيقات Java مخزن ثقتها الخاص (cacerts). ثبّت CA فيه بـ--java:
sudo elide crt trust --javaإذا لم تكن JVM في الموقع القياسي، حدّده:
sudo elide crt trust --java --java-home /usr/lib/jvm/java-21تُستورد CA بالاسم المستعار elide-local-ca باستخدام keytool -importcert بكلمة مرور مخزن المفاتيح الافتراضية (changeit).
مخزن Windows على مستوى الجهاز
على Windows، يستهدف elide crt trust مخزن المستخدم الحالي افتراضيًا. للتثبيت في مخزن LocalMachine\Root على مستوى الجهاز (يؤثر على جميع المستخدمين)، أضف --system:
elide crt trust --systemيتطلب هذا التشغيل كمسؤول.
التشغيل التجريبي
معاينة ما سيحدث بدون إجراء أي تغييرات:
elide crt trust --dry-runيطبع هذا عمليات نسخ الملفات وأوامر النظام الدقيقة التي ستُنفَّذ، بدون تشغيلها.
---
مرجع سطر الأوامر: trust
elide crt trust [OPTIONS] [FILE]| العلَم | الافتراضي | الوصف |
|---|---|---|
FILE | CA المحلية لـElide | ملف شهادة CA للوثوق بها (احذفه لاستخدام CA المحلية لـElide) |
—proxy | false | الوثوق بـCA وكيل MITM بدلاً من CA الرئيسية |
—firefox | false | التثبيت أيضًا في مخزن شهادات Firefox/NSS |
—java | false | التثبيت أيضًا في مخزن ثقة JVM (cacerts) |
—java-home | $JAVA_HOME | دليل JVM الرئيسي (يُستخدم مع —java) |
—system | false | التثبيت في مخزن الجهاز (Windows: يتطلب المسؤول) |
—dry-run | false | عرض ما سيُنفَّذ بدون تنفيذ |
—json | false | الإخراج بصيغة JSON |
إزالة الثقة
إزالة CA المحلية لـElide من مخزن ثقة النظام:
sudo elide crt untrustالإزالة من جميع المخازن
الإزالة من مخزن ثقة النظام، وقاعدة بيانات NSS لـFirefox، ومخزن ثقة JVM بأمر واحد:
sudo elide crt untrust --allإزالة CA الوكيل
sudo elide crt untrust --proxyالتشغيل التجريبي
elide crt untrust --dry-run---
مرجع سطر الأوامر: untrust
elide crt untrust [OPTIONS] [FILE]| العلَم | الافتراضي | الوصف |
|---|---|---|
FILE | CA المحلية لـElide | ملف شهادة CA للإزالة (احذفه لاستخدام CA المحلية لـElide) |
—proxy | false | إزالة CA وكيل MITM |
—firefox | false | الإزالة أيضًا من مخزن شهادات Firefox/NSS |
—java | false | الإزالة أيضًا من مخزن ثقة JVM (cacerts) |
—java-home | $JAVA_HOME | دليل JVM الرئيسي (يُستخدم مع —java) |
—all | false | الإزالة من جميع المخازن (النظام + Firefox NSS + JVM) |
—system | false | الإزالة من مخزن الجهاز (Windows: يتطلب المسؤول) |
—dry-run | false | عرض ما سيُنفَّذ بدون تنفيذ |
—json | false | الإخراج بصيغة JSON |
انظر أيضًا
- elide crt — نظرة عامة على إدارة الشهادات وPKI
- إنشاء الشهادات والتحقق منها — إنشاء وفحص والتحقق من شهادات TLS وتحويلها