CA erstellung unter OpenBSD

R

Reks30

Well-Known Member
Hallo,

ich wollte heute meine (hausinterne) CA die bislang unter Debian lief und deren Root-Zertifikat ich nun ohnehin auswechseln muß, erneuern und dabei gleich auf OpenBSD betreiben. Normalerweise gibt es ja für Openssl ein Perlscript oder Shellscript welches CA.pl oder CA.sh heißt um eine eigene CA zu erstellen. Unter OpenBSD habe ich aber weder CA.sh noch CA.pl gefunden. Wie kann man nun unter OpenBSD eine eigene CA erstellen?

Gruß
Reks30
 
Komme zwar nicht von obsd, aber Du findest sowas u.a. in den Sourcen von OpenVPN - wird bei fbsd unter /usr/local/share/examples/openvpn/easy-rsa mitinstalliert - oder Du verwendest für klicki-bunti tinyCA oder wenns größer werden soll, EJBCA (java,jboss) oder OpenCA (perl,apache).
Ich hab sowas auch mal als script für spezielle Server/Client Zertifikate geschrieben und Du könntest das hier runterladen und für Deine Bedürfnisse anpassen.
 
Abend

Eine CA unter OpenSSL ist etwas komplex, vorallem wenn es um eine grosse CA handelt. Selbst fertig lösungen wo existieren und auf OpenSSL basieren, befriediegen nicht.

Eine mittelmässige alternative währe XCA, doch insgesammt kenne ich keine Open Source Software, die halbwägs ein brauchbares ergebnis liefert.

Gruss
bsdagent
 
@ d4mi4n:

Danke für die Links, ich glaube das hilft mir schon mal weiter, werde mir das morgen durchlesen, heute ist zu spät.

@bsdagent:

Nun, eine große CA brauch ich ja auch nicht. Ich habe das ja auch bislang unter Debian einfach so mit openssl gemacht. Ich muß vielleicht grad mal 2 - 3 Zertifikate im Jahr signieren. Das ist ja nur intern, für meine eigenen Server (2 mal für Apache, ein Zertifikat für Cups, 2 für Postfix, einer für einen POP3 Server und einer für meinen internen Imapserver).

Ich muß das diese Tage nur relativ zügig alles neu machen, da alle mit Debian in den letzten 2 Jahren erzeugten Zertifikate verwundbar sind und als kompromitiert gelten müssen (siehe: http://www.debian.org/security/2008/dsa-1571 und http://www.heise.de/newsticker/OpenSSL-Wirrwarr-verunsichert-Anwender-und-Admins--/meldung/108005)

SSH-Schlüssel habe ich heute schon überall ausgetauscht.

Gruß
Reks30
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben