Какое программное обеспечение центра сертификации доступно? [закрыто]

Я использую несколько сайтов, зашифрованных по протоколу SSL, и мне нужно создать сертификаты для их работы. Все они являются внутренними приложениями, поэтому мне не нужно покупать сертификат, я могу создать свой собственный.

Я нахожу довольно утомительным все время делать с использованием openssl, и думаю, что это то, что, вероятно, было сделано раньше, и для этого существует программное обеспечение.

Я предпочитаю системы на основе Linux, и я бы предпочел систему с командной строкой, а не графический интерфейс.

У кого-нибудь есть предложения?

20.08.2008 11:36:55
7 ОТВЕТОВ

Опция, которая не требует вашего собственного CA - это получить сертификаты от CAcert (они бесплатны).

Я считаю удобным добавить два корневых сертификата CAcert на мои клиентские машины, после чего я могу управлять всеми сертификатами SSL через CAcert.

7
20.08.2008 15:34:06
+1 к CACert. Я использовал их в прошлом и обнаружил, что сервис прост в использовании и очень эффективен. Маршрут самосертификации также возможен, но я обнаружил, что разница между CACert и кривой обучения, необходимой для настройки CA, слишком велика.
ZombieSheep 20.08.2008 15:37:33

Вполне вероятно, что самоподписание даст вам то, что вам нужно; Вот страница (ссылка воскрешена web.archive.org), которая предоставляет достойное руководство по самоподписанию, если вы хотите узнать все подробности о том, как это делается и как создать свой собственный скрипт.

Исходная ссылка на скрипт из этого ответа, к сожалению, мертва, и мне не удалось найти его архив, но есть много альтернатив для предварительно развернутых сценариев оболочки.

Если вы ищете что-то для поддержки достаточно полнофункциональной самоподписки, то в этом руководстве по аутентификации 802.1x от tldp.org рекомендуется использовать вспомогательные сценарии для самоподписания из FreeRADIUS . Или, если вам просто нужно быстро и грязно, то Рон Бибер предлагает свой «мертвый мозг» для самостоятельной подписи в своем блоге на bieberlabs.com.

Конечно, существует множество альтернативных сценариев, но это, кажется, дает хороший выбор, и с небольшой дополнительной информацией из руководства вы сможете адаптировать их, чтобы делать все, что вам нужно.

Стоит также проверить SSL-сертификаты HOWTO . Сейчас он довольно старый (последнее обновление 2002 года), но его содержание все еще актуально: он объясняет, как использовать CAскрипт Perl / Bash, поставляемый с программным обеспечением OpenSSL.

5
12.01.2015 11:36:30
Может быть, этот ответ не следует принимать, теперь, когда ссылки больше не разрешаются.
florin 14.04.2011 23:21:39
Отличная идея. Я посмотрю другие ответы и выясню, должен ли какой-либо из них быть новым принятым ответом.
kaybenleroll 23.11.2011 14:56:28
Я обновил неработающую ссылку на руководство с помощью ссылки на интернет-архив, и, поскольку мне не удалось найти оригинальный веб-сайт Паана, я нашел несколько других альтернатив и вставил их (как веб-сайты, за исключением страницы загрузки FreeRADIUS, поэтому они выиграли труп); в процессе я немного изменил ответ, так как он был коротким, а порция больше не актуальна. Надеюсь, это кому-нибудь пригодится.
shelleybutterfly 29.04.2012 17:05:31
Хорошая работа, @shelleybutterfly. Я нашел эти ссылки полезными, поэтому я проголосовал за этот ответ. Поскольку теперь это Вики сообщества, я также добавил ссылку на HOWTO по SSL-сертификатам.
Anthony Geoghegan 12.01.2015 11:37:06

Я знаю, что вы сказали, что предпочитаете командную строку, но для тех, кто заинтересован в этом, TinyCA - очень простое в использовании программное обеспечение CA GUI. Я использовал это как в Linux, так и в OSX.

5
7.09.2008 16:03:39
Да, мне нравится TinyCA, но я обнаружил, что необходимость запуска в графическом интерфейсе ограничена, так как иногда у меня есть доступ к оболочке только для некоторых машин.
kaybenleroll 15.09.2008 22:27:19

Существует простое решение для веб-страницы: https://www.ibm.com/developerworks/mydeveloperworks/blogs/soma/entry/a_pki_in_a_web_page10

1
13.09.2009 01:09:05
Эта ссылка не работает. Но вот еще одно веб-решение: mCertAuth methodica.ch. Примечание. Это не бесплатная программа, и я являюсь ее автором. Но мы могли бы обсудить специальную скидку для участников stackoverflow .
hherger 20.01.2016 06:35:10

Мне нравится использовать скрипты easy-rsa, поставляемые с OpenVPN. Это набор инструментов командной строки, используемых для создания среды PKI, необходимой для OpenVPN. Но с небольшим изменением (также предоставленного) файла openssl.cnf вы можете создать практически все, что захотите. Я использую это для самостоятельной подписи сертификатов сервера ssl, а также для резервного копирования Bacula и для создания закрытых ключей / csr для «настоящих» сертификатов. Просто скачайте архив с исходным кодом OpenVPN Community Edition и скопируйте папку easy-rsa на свой Linux-компьютер. вы найдете много документации на страницах сообщества openvpn.

Раньше я использовал CAcert, это тоже хорошо, но вы должны создать CSR самостоятельно, поэтому вы должны снова использовать openssl, и сертификаты действительны только в течение полугода. это раздражает

1
13.02.2012 10:15:04

Программное обеспечение XCA выглядит достаточно хорошо поддерживаемым (авторское право 2012, использует Qt4), с хорошо документированным и достаточно простым пользовательским интерфейсом и имеет пакеты для Debian, Ubuntu и Fedora.

Не судите о сайте с первого взгляда: http://xca.sourceforge.net/

Скорее, проверьте это хорошее пошаговое руководство, чтобы добавить новый CA: http://xca.sourceforge.net/xca-14.html#ss14.1

Вы можете увидеть скриншот приложения там: http://sourceforge.net/projects/xca/

Это на основе графического интерфейса, а не командной строки.

4
26.04.2013 09:06:34
XCA действительно хорош, если вам нужен быстрый и простой CA на основе графического интерфейса. Существует много узнать о сертификатах, просто играя в XCA.
moosaka 27.11.2013 13:51:54

Я создал скрипт-обертку , написанный на Bash, для OpenSSL, который может быть вам полезен здесь. Для меня самыми простыми источниками ошибок пользователя при использовании OpenSSL были:

  1. Сохранение согласованной и логичной схемы именования для конфигурации / сертификатов / ключей, чтобы я мог видеть, как каждый артефакт вписывается во всю PKI, просто посмотрев на имя / расширение файла
  2. Обеспечение соответствия структуры папок на всех компьютерах CA, которые используют сценарий.
  3. Задание слишком большого количества параметров конфигурации через CLI и потеря некоторых деталей

Стратегия заключается в том, чтобы поместить всю конфигурацию в свои собственные файлы, сохранив только выполнение определенного действия для CLI. Сценарий также строго предписывает использование определенной схемы именования папок / файлов, что полезно при просмотре любого отдельного файла.

Используйте / Fork / PR прочь! Надеюсь, это поможет.

0
22.01.2015 17:58:39