Какое программное обеспечение центра сертификации доступно?

У меня есть несколько веб-сайтов с шифрованием SSL, и мне нужно сгенерировать сертификаты для работы на них. Все они являются внутренними приложениями, поэтому мне не нужно покупать сертификат, я могу создать свой собственный.

Мне показалось довольно утомительным все время делать все, используя openssl, и я полагаю, что это то, что, вероятно, делалось раньше, и для этого существует программное обеспечение.

Я предпочитаю системы на базе Linux и предпочитаю систему командной строки, а не графический интерфейс.

Есть ли у кого-нибудь предложения?

Ответов (7)

Мне нравится использовать сценарии easy-rsa, поставляемые с OpenVPN. Это набор инструментов командной строки, используемых для создания среды PKI, необходимой для OpenVPN. Но с небольшим изменением (также предоставленного) файла openssl.cnf вы можете создать с ним практически все, что захотите. Я использую это для самоподписывания сертификатов ssl-сервера, а также для резервного копирования Bacula и для создания закрытых ключей / csr для «настоящих» сертификатов. просто скачайте архив исходных текстов OpenVPN community edition и скопируйте папку easy-rsa на свой Linux-компьютер. вы найдете много документации на страницах сообщества openvpn.

Раньше я использовал CAcert, это тоже хорошо, но вам нужно создать CSR самостоятельно, поэтому вам придется снова использовать openssl, а сертификаты aer действительны только в течение полугода. это раздражает

Я создал сценарий оболочки , написанный на Bash, для OpenSSL, который может быть вам здесь полезен. Для меня самыми простыми источниками пользовательских ошибок при использовании OpenSSL были:

  1. Сохранение согласованной и логической схемы именования для конфигурации / сертификатов / ключей, чтобы я мог видеть, как каждый артефакт вписывается во всю PKI, просто глядя на имя / расширение файла.
  2. Обеспечение согласованной структуры папок на всех компьютерах CA, использующих сценарий.
  3. Указание слишком большого количества параметров конфигурации через интерфейс командной строки и потеря некоторых деталей

Стратегия состоит в том, чтобы поместить всю конфигурацию в свои собственные файлы, сохраняя только выполнение определенного действия для CLI. Сценарий также настоятельно требует использования определенной схемы именования для папок / файлов здесь, что полезно при просмотре любого отдельного файла.

Используйте / Вилку / PR прочь! Надеюсь, это поможет.

Программное обеспечение XCA выглядит достаточно хорошо обслуживаемым (авторское право 2012, использует Qt4), с хорошо документированным и достаточно простым пользовательским интерфейсом и имеет пакеты для debian, ubuntu и Fedora.

Не судите сайт с первого взгляда: http://xca.sourceforge.net/

Лучше просмотрите это красивое пошаговое руководство, чтобы добавить новый ЦС: http://xca.sourceforge.net/xca-14.html#ss14.1

Здесь вы можете увидеть скриншот приложения: http://sourceforge.net/projects/xca/

Однако он основан на графическом интерфейсе, а не в командной строке.

Вариант, который не требует наличия собственного центра сертификации, - это получить сертификаты от CAcert (они бесплатны).

Я считаю удобным добавить два корневых сертификата CAcert на свои клиентские машины, после чего я могу управлять всеми сертификатами SSL через CAcert.

Вполне вероятно, что самоподписание даст вам то, что вам нужно; вот страница (ссылка восстановлена ​​web.archive.org), которая предоставляет достойное руководство по самоподписанию, если вы хотите знать все тонкости того, как это делается, и как создать свой собственный сценарий.

Исходная ссылка на сценарий из этого ответа, к сожалению, мертва, и мне не удалось найти ее архив, но есть много альтернатив для предварительно развернутых сценариев оболочки.

Если вы ищете что-то для поддержки достаточно полнофункциональной самоподписи, то в этом руководстве по аутентификации 802.1x от tldp.org рекомендуется использовать вспомогательные сценарии для самоподписи от FreeRADIUS . Или, если вам просто нужно быстро и грязно, то Рон Бибер предлагает свой « бессмысленный сценарий» для самостоятельной подписи в своем блоге на bieberlabs.com.

Конечно, существует множество альтернативных сценариев, но, похоже, это дает хороший выбор, и с небольшой дополнительной информацией из руководства вы сможете адаптировать их для выполнения любых задач.

Также стоит проверить SSL-сертификаты HOWTO . Сейчас он довольно старый (последний раз обновлялся в 2002 г.), но его содержание все еще актуально: в нем объясняется, как использовать CA сценарий Perl / Bash, поставляемый с программным обеспечением OpenSSL.

Я знаю, что вы сказали, что предпочитаете командную строку, но для других, кто в этом заинтересован, TinyCA - очень простое в использовании программное обеспечение CA с графическим интерфейсом пользователя. Я использовал это как в Linux, так и в OSX.

Есть простое решение для веб-страницы: https://www.ibm.com/developerworks/mydeveloperworks/blogs/soma/entry/a_pki_in_a_web_page10