My<cod/>.net
Какое программное обеспечение центра сертификации доступно?
Я запускаю несколько сайтов с шифрованием SSL, и мне нужно создать сертификаты для запуска на них. Все они являются внутренними приложениями, поэтому мне не нужно покупать сертификат, я могу создать свой собственный.
Я нахожу довольно утомительным делать все, используя openssl все время, и считаю, что это то, что, вероятно, было сделано раньше, и для этого существует программное обеспечение.
Я предпочитаю системы на базе linux, и я бы предпочел систему командной строки, а не GUI.
Кто-нибудь есть некоторые предложения?
Вариант, который не требует вашего собственного CA, - это получить сертификаты от CAcert (они бесплатны).
Я считаю удобным добавить два корневых сертификата CAcert к моим клиентским машинам, а затем я могу управлять всеми сертификатами SSL через CAcert.
Вполне вероятно, что самоподписание даст вам то, что вам нужно; вот страница (ссылка воскрешена web.archive.org), которая предоставляет достойное руководство по самоподписке, если вы хотите знать, как это делается и как создать свой собственный сценарий.
Исходная ссылка на скрипт из этого ответа, к сожалению, мертва,и я не смог найти ее архив, но есть много альтернатив для предварительно свернутых сценариев shell.
Если вы ищете что-то для поддержки достаточно полнофункциональной самоподписи, то в этом руководстве для 802.1x аутентификации от tldp.org рекомендуется использовать вспомогательные скрипты для самоподписи от FreeRADIUS . Или, если вам просто нужно quick-and-dirty, то Рон Бибер предлагает свой "brain-dead script" для самостоятельной подписи в своем блоге на bieberlabs.com.
Конечно, есть много альтернативных сценариев, но это, кажется, дает хороший выбор, и с небольшой дополнительной информацией из руководства вы должны быть в состоянии адаптировать их, чтобы сделать все, что вам нужно.
Также стоит проверить SSL сертификатов HOWTO . Сейчас он довольно старый (последнее обновление 2002 года), но его содержание по-прежнему актуально: он объясняет, как использовать сценарий CA Perl / Bash, поставляемый с программным обеспечением OpenSSL.
Программное обеспечение XCA выглядит достаточно хорошо поддержанным (copyright 2012, uses Qt4), с хорошо документированным и достаточно простым пользовательским интерфейсом и имеет пакеты на debian, ubuntu и fedora.
Не судите сайт с первого взгляда: http://xca.sourceforge.net/
Скорее, проверьте это хорошее пошаговое руководство, чтобы добавить новый CA: http://xca.sourceforge.net/xca-14.html#ss14.1
Вы можете увидеть скриншот приложения там: http://sourceforge.net/projects/xca/
Однако он основан на GUI, а не на командной строке.
Есть простое решение для веб-страницы: https://www.ibm.com/developerworks/mydeveloperworks/blogs/soma/entry/a_pki_in_a_web_page10
Мне нравится использовать простые скрипты-rsa, поставляемые с OpenVPN. Это набор инструментов командной строки, используемых для создания среды PKI, необходимой для OpenVPN. Но с небольшим изменением (также предоставленного) файла openssl.cnf вы можете создать с его помощью практически все, что захотите. Я использую его для самоподписывания сертификатов сервера ssl, а также для резервного копирования Bacula и для создания частных сертификатов keys/csr's для "real". просто скачайте исходный файл OpenVPN community edition и скопируйте папку easy-rsa на свой компьютер linux. вы найдете много документации на страницах сообщества openvpn.
Раньше я использовал CAcert, это тоже неплохо, но вы должны создать CSR самостоятельно, поэтому вам придется снова использовать openssl, а сертификаты Aer действительны только в течение полугода. это раздражает
Я создал сценарий-оболочку, написанный на языке Bash, для OpenSSL, который может быть полезен вам здесь. Для меня самыми простыми источниками ошибок пользователей при использовании OpenSSL были:
- Сохраняя последовательную и логичную схему именования для configuration/certs/keys, чтобы я мог видеть, как каждый артефакт вписывается во всю PKI, просто взглянув на имя файла / расширение
- Применение структуры папок, которая согласована на всех машинах CA, использующих сценарий.
- Указание слишком большого количества параметров конфигурации через CLI и потеря отслеживания некоторых деталей
Стратегия заключается в том, чтобы запихнуть всю конфигурацию в свои собственные файлы, сохранив только выполнение определенного действия для CLI. Сценарий также настоятельно требует использования определенной схемы именования для папок / файлов здесь, что полезно при просмотре любого отдельного файла.
Use/Fork/PR прочь! Надеюсь, это поможет.