Какое программное обеспечение центра сертификации доступно?

Я запускаю несколько SSL-зашифрованных веб-сайтов и должен создавать сертификаты для их запуска. Все они являются внутренними приложениями, поэтому мне не нужно приобретать сертификат, я могу создать свой собственный.

Мне было довольно утомительно делать все, используя openssl все время, и полагаю, что это то, что, вероятно, было сделано раньше, и для него существует программное обеспечение.

Мои предпочтения относятся к системам на базе Linux, и я бы предпочел систему командной строки, а не графический интерфейс.

Есть ли у кого-нибудь предложения?

Ответ 1

Опция, которая не требует вашего собственного ЦС, заключается в получении сертификатов от CAcert (они бесплатны).

Мне удобнее добавить два корневых сертификата CAcert на мои клиентские компьютеры, тогда я могу управлять всеми SSL-сертификатами через CAcert.

Ответ 2

Вероятно, самоподписание даст вам то, что вам нужно; вот страница (ссылка воскрешена web.archive.org), которая обеспечивает достойное руководство для самоподписывания, если вы хотите узнать в том числе и о том, как это сделать и как создать свой собственный script.

Оригинальная ссылка script из этого ответа, к сожалению, мертва, и я не смог найти ее архив, но есть много альтернатив для предварительно прокатанных сценариев оболочки.

Если вы ищете что-то, чтобы поддерживать довольно полнофункциональное самоподписание, это руководство для аутентификации 802.1x от tldp. org рекомендует использовать вспомогательные скрипты для самоподписывания из FreeRADIUS. Или, если вам просто нужно быстро и грязно, тогда Рон Бибер предлагает "мозг-мертв script" для самоподписывания в своем блоге на bieberlabs.com.

Конечно, есть много альтернативных сценариев, но это, кажется, дает хороший выбор, и с небольшой дополнительной информацией из руководства вы должны быть в состоянии адаптировать их, чтобы делать все, что вам нужно.

Также стоит проверить SSL Certificates HOWTO. Это довольно старый (последний обновленный 2002), но его содержание по-прежнему актуально: в нем объясняется, как использовать CA Perl/Bash script с программным обеспечением OpenSSL.

Ответ 3

Я знаю, что вы сказали, что предпочитаете командную строку, но для других, которые этого интересуют, TinyCA - это очень простое в использовании программное обеспечение GUI CA. Я использовал это как в Linux, так и в OSX.

Ответ 4

Программное обеспечение XCA выглядит достаточно хорошо поддержанным (авторское право на 2012 год, использует Qt4), с хорошо документированным и достаточно простым пользовательским интерфейсом и имеет пакеты на debian, ubuntu и fedora.

Не судите сайт с первого взгляда: http://xca.sourceforge.net/

Скорее, проверьте это замечательное прохождение, чтобы добавить новый CA: http://xca.sourceforge.net/xca-14.html#ss14.1

Вы можете увидеть снимок экрана приложения: http://sourceforge.net/projects/xca/

Это GUI-based, хотя и не для командной строки.

Ответ 5

Там есть простое решение для веб-страницы: https://www.ibm.com/developerworks/mydeveloperworks/blogs/soma/entry/a_pki_in_a_web_page10

Ответ 6

Мне нравится использовать скрипты easy-rsa, предоставляемые OpenVPN. Это набор инструментов командной строки, используемых для создания среды PKI, требуемой для OpenVPN. Но с небольшим изменением файла openssl.cnf(также предоставленного) вы можете создать почти все, что захотите. Я использую это для самостоятельного подписания сертификатов сервера ssl, а также с резервной копией Bacula и для создания секретных ключей /csr для "реальных" сертификатов. просто загрузите исходный tar файл сообщества OpenVPN и скопируйте папку easy-rsa на свою Linux-машину. вы найдете много документации на страницах сообщества openvpn.

Я использовал CAcert, это тоже приятно, но вам нужно создать CSR самостоятельно, поэтому вам нужно снова использовать openssl, а certs aer действителен только полгода. это раздражает

Ответ 7

Я создал обертку script, написанную в Bash, для OpenSSL, которая может быть вам полезна здесь. Для меня самыми легкими источниками ошибок пользователя при использовании OpenSSL были:

Сохранение последовательной и логичной схемы именования для конфигураций/сертификатов/ключей, чтобы я мог видеть, как каждый артефакт вписывается во всю PKI, просто просматривая имя файла/расширение
Обеспечение структуры папок, которая согласована во всех машинах CA, которые используют script.
Указание слишком большого количества параметров конфигурации с помощью CLI и устранение некоторых деталей.

Стратегия состоит в том, чтобы вставить все конфигурации в свои собственные файлы, сохранив только выполнение определенного действия для CLI. script также настоятельно рекомендует использовать конкретную схему именования для папок/файлов, что полезно при просмотре любого отдельного файла.

Используйте/Вилка/PR! Надеюсь, что это поможет.