2008-08-20 6 views
11

Ich betreibe eine Reihe von SSL-verschlüsselten Websites und muss Zertifikate generieren, um auf diesen zu laufen. Sie sind alle interne Anwendungen, also muss ich kein Zertifikat kaufen, ich kann mein eigenes erstellen.Welche Zertifizierungsstellen-Software ist verfügbar?

Ich habe es ziemlich mühsam gefunden, alles mit openssl die ganze Zeit zu tun, und zu sehen, dass dies die Art der Sache ist, die wahrscheinlich schon einmal gemacht wurde und Software dafür existiert.

Meine Präferenz ist für Linux-basierte Systeme, und ich würde lieber ein Befehlszeilensystem als eine GUI.

Hat jemand einige Vorschläge?

Antwort

7

Eine Option, die keine eigene CA erfordert, ist, Zertifikate von CAcert (sie sind kostenlos) zu erhalten.

Ich finde es bequem, die beiden CAcert-Root-Zertifikate zu meinen Client-Rechnern hinzuzufügen, dann kann ich alle SSL-Zertifikate über CAcert verwalten.

+0

+1 zu CACert. Ich habe sie in der Vergangenheit benutzt und fand den Service einfach und sehr effektiv. Die Selbstzertifizierungsroute ist ebenfalls möglich, aber ich fand den Unterschied zwischen CACert und der Lernkurve, die für die Einrichtung einer Zertifizierungsstelle erforderlich ist, als zu groß. – ZombieSheep

5

Es ist wahrscheinlich, dass die Selbstsignierung Ihnen das gibt, was Sie brauchen; here is a page (Link wiederbelebt von web.archive.org), die einen anständigen Leitfaden zur Selbstsignierung bietet, wenn Sie wissen möchten, wie es funktioniert und wie Sie Ihr eigenes Skript erstellen können.

Der ursprüngliche Skript-Link von dieser Antwort ist leider tot und ich konnte kein Archiv davon finden, aber es gibt viele Alternativen für vorgerollte Shell-Skripte da draußen.

Wenn Sie nach etwas suchen, ziemlich voll funktionsfähiger Selbst Unterzeichnung zu unterstützen, dann this guide for 802.1x authentication von tldp.org empfiehlt den Helfer-Skripte für Selbst Unterzeichnung mit von FreeRADIUS. Oder, wenn Sie nur schnell und schmutzig brauchen, dann bietet Ron Bieber seine "brain-dead script" für die Selbst-Unterzeichnung in seinem Blog bei bieberlabs.com.

Natürlich gibt es viele alternative Skripts, aber dies scheint eine gute Auswahl zu geben, und mit ein paar zusätzlichen Informationen aus dem Handbuch sollten Sie in der Lage sein, diese so anzupassen, dass Sie alles tun können, was Sie brauchen.

Es lohnt sich auch, die SSL Certificates HOWTO zu überprüfen. Es ist ziemlich alt (zuletzt aktualisiert 2002), aber sein Inhalt ist immer noch relevant: es erklärt, wie man das CA Perl/Bash-Skript verwendet, das mit der OpenSSL-Software geliefert wird.

+2

Vielleicht sollte diese Antwort nicht akzeptiert werden, jetzt, da die Links nicht mehr aufgelöst werden. – florin

+0

Gute Idee. Ich werde die anderen Antworten durchsehen und sehen, ob einige von ihnen die neue akzeptierte Antwort sein sollten. – kaybenleroll

+1

Ich habe den toten Link zum Handbuch mit einem Internetarchivlink aktualisiert und da ich die ursprüngliche Website von paan nicht gefunden habe, habe ich ein paar andere Alternativen gefunden und eingefügt (als WebCites, außer auf der Downloadseite von FreeRADIUS, also sie wird nicht tot); dabei habe ich die Antwort ein wenig modifiziert, da sie kurz war und ein Chunk nicht mehr relevant war. Ich hoffe, das ist hilfreich für jemanden. – shelleybutterfly

5

Ich weiß, Sie sagten, Sie bevorzugen die Befehlszeile, aber für andere, die daran interessiert sind, ist TinyCA eine sehr einfach zu GUI-CA-Software zu verwenden. Ich habe das sowohl in Linux als auch in OSX verwendet.

+0

Ja, ich mag TinyCA, aber ich habe die Notwendigkeit gefunden, in einer GUI zu laufen, die einschränkt, da ich manchmal nur Shell-Zugriff auf einige Maschinen habe. – kaybenleroll

1

Ich mag den easy-rsa Skripte mit OpenVPN verwenden. Dies ist eine Sammlung von Befehlszeilentools, die zum Erstellen der für OpenVPN erforderlichen PKI-Umgebung verwendet werden. Aber mit einer leichten Änderung der (auch mitgelieferten) openssl.cnf-Datei können Sie so ziemlich alles erstellen, was Sie wollen. Ich benutze das für selbst signierende SSL-Server-Zertifikate sowie mit Bacula-Backup und zum Erstellen von privaten Schlüsseln/CSR für "echte" Zertifikate. Laden Sie einfach den Source-Tarball der OpenVPN-Community-Edition herunter und kopieren Sie den easy-rsa-Ordner auf Ihren Linux-Rechner. Auf den openvpn-Community-Seiten finden Sie viele Dokumente.

Ich benutzte CAcert, es ist auch nett, aber Sie müssen die CSR selbst erstellen, so müssen Sie wieder openssl verwenden und die Zertifikate sind nur für ein halbes Jahr gültig.Das ist ärgerlich

3

Die XCA-Software scheint einigermaßen gut gepflegt (copyright 2012, verwendet Qt4), mit einer gut dokumentierten und einfach genug Benutzeroberfläche und hat Pakete auf Debian, Ubuntu und Fedora.

Sie die Website auf den ersten Blick nicht beurteilen: http://xca.sourceforge.net/

Vielmehr dieses schöne Durchlauf überprüfen eine neue CA hinzuzufügen: http://xca.sourceforge.net/xca-14.html#ss14.1

Sie dort einen Screenshot der Anwendung sehen können: http://sourceforge.net/projects/xca/

Es ist zwar GUI-basiert, nicht Befehlszeile.

+0

XCA ist wirklich nett, wenn Sie eine schnelle und einfache GUI-basierte CA benötigen. Es gibt eine Menge über Zertifikate zu lernen, nur durch das Spielen mit XCA. – moosaka

0

Ich erstellte a wrapper script, geschrieben in Bash, für OpenSSL, die Ihnen hier nützlich sein könnte. Für mich sind die einfachste Quellen Benutzerfehler, wenn OpenSSL waren:

  1. Die Aufrechterhaltung einer konsistenten und logischen Namensschema für die Konfiguration/certs/Tasten, so dass ich sehen kann, wie jedes Artefakt in die gesamte PKI passt bei einem Blick auf Dateiname/Erweiterung
  2. Erzwingen einer Ordnerstruktur, die für alle CA-Computer konsistent ist, die das Skript verwenden.
  3. Angeben zu viele Konfigurationsoptionen über CLI und verliert den Überblick über einige der Details

Die Strategie ist die gesamte Konfiguration in ihre eigenen Dateien schieben, nur die Ausführung einer bestimmten Aktion für die CLI zu speichern. Das Skript erzwingt auch die Verwendung eines bestimmten Benennungsschemas für Ordner/Dateien, das hilfreich ist, wenn Sie eine einzelne Datei betrachten.

Verwendung/Gabel/PR weg! Ich hoffe es hilft.