own make generate creating create linux openssl certificate-authority

linux - make - ¿Qué software de autoridad de certificación está disponible?



openssl create self signed certificate authority (7)

Una opción que no requiere su propia CA es obtener certificados de CAcert (son gratuitos).

Me parece conveniente agregar los dos certificados raíz CAcert a mis máquinas cliente, luego puedo administrar todos los certificados SSL a través de CAcert.

Estoy ejecutando varios sitios web cifrados con SSL y necesito generar certificados para ejecutarlos. Son todas aplicaciones internas, por lo que no necesito comprar un certificado, puedo crear el mío.

Me ha resultado bastante tedioso hacer todo usando openssl todo el tiempo, y creo que este es el tipo de cosas que probablemente se haya hecho antes y que exista software para ello.

Mi preferencia es para sistemas basados ​​en Linux, y preferiría un sistema de línea de comandos en lugar de una GUI.

¿Alguien tiene alguna sugerencia?


Sé que dijiste que preferías la línea de comandos, pero para los demás que están interesados ​​en esto, TinyCA es un software GUI CA muy fácil de usar. Lo he usado tanto en Linux como en OSX.



Me gusta usar los scripts easy-rsa provistos con OpenVPN. Esta es una colección de herramientas de línea de comando utilizada para crear el entorno de PKI requerido para OpenVPN. Pero con un ligero cambio del archivo openssl.cnf (también provisto) puede crear casi cualquier cosa que desee con él. Lo uso para autosefirmar certificados de servidor ssl, así como también para copias de seguridad de Bacula y para crear claves privadas / csr para certificados "reales". solo descargue el archivo fuente de la edición de comunidad OpenVPN y copie la carpeta easy-rsa en su máquina Linux. Encontrará mucha documentación en las páginas de la comunidad openvpn.

Yo solía usar CAcert, también es bueno, pero tienes que crear el CSR tú mismo, así que tienes que usar openssl nuevamente y los certs solo son válidos por medio año. esto es molesto


El software XCA parece razonablemente bien mantenido (copyright 2012, usa Qt4), con una interfaz de usuario suficientemente documentada y sencilla y tiene paquetes en debian, ubuntu y fedora.

No juzgue el sitio web a primera vista: http://xca.sourceforge.net/

Más bien, consulte este tutorial para agregar una nueva CA: http://xca.sourceforge.net/xca-14.html#ss14.1

Puede ver una captura de pantalla de la aplicación allí: http://sourceforge.net/projects/xca/

Sin embargo, está basado en GUI, no en línea de comandos.


Es probable que la autofirma le dé lo que necesita; aquí hay una página (enlace resucitado por web.archive.org) que proporciona una guía decente para la autofirma si desea conocer los pormenores de cómo se hace y cómo crear su propio guión.

El enlace de la secuencia de comandos original de esta respuesta está desafortunadamente muerto y no pude encontrar un archivo de la misma, pero hay muchas alternativas para los scripts de shell pre-rodadas que hay.

Si está buscando algo que respalde la autofirma de funciones bastante completas, esta guía de autenticación 802.1x de tldp.org recomienda utilizar las secuencias de comandos de ayuda para autofirmar desde FreeRADIUS . O, si solo necesitas algo rápido y sucio, entonces Ron Bieber ofrece su "script de muerte cerebral" para auto-firmar en su blog en bieberlabs.com.

Por supuesto, hay muchos scripts alternativos por ahí, pero esto parece ofrecer una buena gama de opciones, y con un poco de información adicional de la guía, debe poder adaptarlas para hacer lo que necesite.

También vale la pena consultar el CÓMO de Certificados SSL . Ya es bastante viejo (se actualizó por última vez en 2002) pero su contenido sigue siendo relevante: explica cómo usar el script CA Perl / Bash proporcionado con el software OpenSSL.


Creé una secuencia de comandos envoltorio , escrito en Bash, para OpenSSL que podría ser útil para usted aquí. Para mí, las fuentes más fáciles de error de usuario al usar OpenSSL fueron:

  1. Mantener un esquema de nombres coherente y lógico para la configuración / certs / claves para que pueda ver cómo encaja cada artefacto en toda la PKI simplemente mirando el nombre / extensión del archivo
  2. La aplicación de una estructura de carpetas es coherente en todas las máquinas de CA que utilizan el script.
  3. Especificando demasiadas opciones de configuración a través de CLI y perdiendo la pista de algunos de los detalles

La estrategia consiste en insertar toda la configuración en sus propios archivos, guardando solo la ejecución de una acción particular para la CLI. La secuencia de comandos también aplica estrictamente el uso de un esquema de nombres particular para carpetas / archivos aquí, que es útil cuando se mira un solo archivo.

Utilice / Fork / PR de distancia! Espero eso ayude.