Certification Authority

minimike · 02.08.2012, 18:54

Hi

Für mein Bacula Projekt suche ich noch ein kompatiebeles Tool das Certification Authority bewerkstelligt.
Es soll entweder leicht in der Shell zu bedienen sein oder über eine Weboberfläche verfügen. Auch Nichtadministratoren wie Softwareentwickler sollen wenn ich zum Beispiel im Urlaub oder Krank bin damit umgehen können.
Mir geht es darum das jeder Client ein Zertifikat erhält und nur sofern er ein gültiges Zertifikat hat darf er sich an dem Server anmelden. Damit will ich auch unterbinden das Mitarbeiter oder Angreifer sich zum Beispiel das Backup vom Laptop der Geschäftsleitung besorgen.

Gibt es da etwas?

k_e_x · 02.08.2012, 19:37

open-source oder darf es auch etwas kosten?

minimike · 03.08.2012, 10:55

Zitat:

Zitat von k_e_x

open-source oder darf es auch etwas kosten?

OpenSource wäre mir am liebsten. Dann gibt es keine Probleme mit ich darf das nicht in dieser oder dieser Konfiguration betreiben..

k_e_x · 03.08.2012, 13:34

Du kannst dir mal EJBCA anschauen. Das bietet auch Support für HSMs. [1]

Wenn der Rahmen eher klein ist reicht eigentlich auch OpenSSL, wo man recht schnell ein Skript/GUI herumgebastelt haben kann für die EingabeParameter. (Nutzung: 1 CA + kleiner-50 Nutzer-Zertifikate).

Problematisch sehe ich die Berechtigungen, da wer temporär Zugriff auf den privaten Schlüssel das CA Zertifikates hatte sich beliebige Zertifikate ausstellen könnte (das müsste entsprechend protokolliert werden usw).

Schlüsselverwaltung/Lagerung muss entsprechend gesichert sein, da kommt man um ein HSM kaum herum.

Kommerzielle Lösungen (eine wo ich selber mitgearbeitet habe) nur per PM :-)

[1]: http://ejbca.org/older_releases/ejbc...20Source%20PKI

02.08.2012, 18:54	#1
minimike Berufsrevolutionär Registrierungsdatum: Jul 2010 Beiträge: 552	Certification Authority Hi Für mein Bacula Projekt suche ich noch ein kompatiebeles Tool das Certification Authority bewerkstelligt. Es soll entweder leicht in der Shell zu bedienen sein oder über eine Weboberfläche verfügen. Auch Nichtadministratoren wie Softwareentwickler sollen wenn ich zum Beispiel im Urlaub oder Krank bin damit umgehen können. Mir geht es darum das jeder Client ein Zertifikat erhält und nur sofern er ein gültiges Zertifikat hat darf er sich an dem Server anmelden. Damit will ich auch unterbinden das Mitarbeiter oder Angreifer sich zum Beispiel das Backup vom Laptop der Geschäftsleitung besorgen. Gibt es da etwas? __________________ UTF8 ist der Standard. Alles andere ist Grütze. Mit weniger kann man sich nicht zufrieden geben

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken
Ansicht	Thema bewerten
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln	Thema bewerten:

Ähnliche Themen
Thema	Erstellt von	Forum	Antworten	Letzter Beitrag
Interview: The BSD Certification Group's Dru Lavigne	d4mi4n	Geplauder	0	26.02.2007 04:24
Neue BSD-Seite im Web	steinlaus	News	5	28.03.2005 13:15

02.08.2012, 19:37	#2
k_e_x Registered User Registrierungsdatum: Nov 2004 Beiträge: 325	open-source oder darf es auch etwas kosten?

03.08.2012, 13:34	#4
k_e_x Registered User Registrierungsdatum: Nov 2004 Beiträge: 325	Du kannst dir mal EJBCA anschauen. Das bietet auch Support für HSMs. [1] Wenn der Rahmen eher klein ist reicht eigentlich auch OpenSSL, wo man recht schnell ein Skript/GUI herumgebastelt haben kann für die EingabeParameter. (Nutzung: 1 CA + kleiner-50 Nutzer-Zertifikate). Problematisch sehe ich die Berechtigungen, da wer temporär Zugriff auf den privaten Schlüssel das CA Zertifikates hatte sich beliebige Zertifikate ausstellen könnte (das müsste entsprechend protokolliert werden usw). Schlüsselverwaltung/Lagerung muss entsprechend gesichert sein, da kommt man um ein HSM kaum herum. Kommerzielle Lösungen (eine wo ich selber mitgearbeitet habe) nur per PM :-) [1]: http://ejbca.org/older_releases/ejbc...20Source%20PKI

Dieses Thema betrachten zurzeit 1 Personen. (0 registrierte Benutzer und 1 Gäste)