Что такое программное обеспечение центра сертификации?

Question

Я запускаю несколько SSL-зашифрованных веб-сайтов и должен генерировать сертификаты для их запуска. Все они являются внутренними приложениями, поэтому мне не нужно приобретать сертификат, я могу создать свой собственный.

Я нашел довольно утомительным для того, чтобы делать все, используя openssl все время, и фигурирует, что это то, что, вероятно, было сделано раньше, и для него существует программное обеспечение.

Мои предпочтения относятся к системам на базе Linux, и я бы предпочел систему командной строки, а не графический интерфейс.

Есть ли у кого-нибудь предложения?

Answer 1

Опция, которая не требует вашего собственного ЦС, заключается в получении сертификатов от CAcert (они бесплатны).

Мне удобно добавить два корневых сертификата CAcert на мои клиентские компьютеры, после чего я могу управлять всеми сертификатами SSL через CAcert.

Answer 2

Скорее всего, самоподпись даст вам то, что вам нужно; here is a page (ссылка resurrected by web.archive.org), которая предоставляет достойное руководство для самоподписывания, если вы хотите узнать, как это делается и как создать собственный скрипт.

Оригинальная ссылка сценария из этого отклика, к сожалению, мертва, и я не смог найти ее архив, но есть много альтернатив для предварительно прокатанных сценариев оболочки.

Если вы ищете что-то для поддержки полноценного самоподписывания, то this guide for 802.1x authentication от tldp.org рекомендует использовать вспомогательные скрипты для самоподписывания от FreeRADIUS. Или, если вам просто нужно быстро и грязно, то Рон Бибер предлагает его "brain-dead script" для самостоятельной подписки в своем блоге на сайте bieberlabs.com.

Конечно, есть много альтернативных сценариев, но это, кажется, дает хороший выбор, и с небольшой дополнительной информацией из руководства вы должны уметь адаптировать их, чтобы делать все, что вам нужно.

Также стоит проверить SSL Certificates HOWTO. Это довольно старый (последний обновленный 2002), но его содержание по-прежнему актуально: в нем объясняется, как использовать сценарий Perl/Bash CA, предоставляемый с помощью программного обеспечения OpenSSL.

Answer 3

Я знаю, что вы сказали, что предпочитаете командную строку, но для других, заинтересованных в этом, TinyCA - это очень простое в использовании программное обеспечение GUI CA. Я использовал это как в Linux, так и в OSX.

Answer 4

Там простое решение веб-страницы: https://www.ibm.com/developerworks/mydeveloperworks/blogs/soma/entry/a_pki_in_a_web_page10

Answer 5

Мне нравится использовать простую ЗГУ скрипты, поставляемую с OpenVPN. Это набор инструментов командной строки, используемых для создания среды PKI, требуемой для OpenVPN. Но с небольшим изменением файла openssl.cnf (также предоставленного) вы можете создавать практически все, что хотите. Я использую это для самоподписывания сертификатов сервера ssl, а также с резервной копией Bacula и для создания секретных ключей/csr для «реальных» сертификатов. просто загрузите исходный tar-файл сообщества OpenVPN и скопируйте папку easy-rsa на свою Linux-машину. вы найдете много документации на страницах сообщества openvpn.

Я использовал CAcert, это тоже приятно, но вам нужно создать CSR самостоятельно, поэтому вам нужно снова использовать openssl, а certs aer действителен только полгода.это раздражает

Answer 6

Программное обеспечение XCA выглядит достаточно хорошо поддержанным (авторское право на 2012 год, использует Qt4), с хорошо документированным и достаточно простым пользовательским интерфейсом и имеет пакеты на debian, ubuntu и fedora.

Не судите сайт на первый взгляд: http://xca.sourceforge.net/

Скорее, проверить это хороший пошаговое руководство, чтобы добавить новый CA: http://xca.sourceforge.net/xca-14.html#ss14.1

Вы можете увидеть скриншот приложения там: http://sourceforge.net/projects/xca/

Это GUI-based, хотя и не командная строка.

Answer 7

Я создал a wrapper script, написанные на Bash, для OpenSSL которые могут быть вам полезны сюда. Для меня самые простых источников ошибок пользователя при использовании OpenSSL были:

1. Сохраняя последовательную и логическую схему именования для конфигурации/сертификатов/ключей, чтобы я мог видеть, как каждый артефакт вписывается в все ПКА, просто глядя на имя файла/расширение
2. Обеспечение структуры папок, которая согласована на всех машинах CA, использующих сценарий.
3. Задание слишком много вариантов конфигурации через интерфейс командной строки и потери отслеживать некоторые детали

Стратегия толкать всю конфигурацию в свои собственные файлы, сохраняя только выполнение определенного действия для CLI. Сценарий также настоятельно рекомендует использовать конкретную схему именования для папок/файлов, что полезно при просмотре любого файла.

Использование/Вилка/PR прочь! Надеюсь, поможет.