Certification Authority

[minimike]

Hi

Für mein Bacula Projekt suche ich noch ein kompatiebeles Tool das Certification Authority bewerkstelligt.
Es soll entweder leicht in der Shell zu bedienen sein oder über eine Weboberfläche verfügen. Auch Nichtadministratoren wie Softwareentwickler sollen wenn ich zum Beispiel im Urlaub oder Krank bin damit umgehen können.
Mir geht es darum das jeder Client ein Zertifikat erhält und nur sofern er ein gültiges Zertifikat hat darf er sich an dem Server anmelden. Damit will ich auch unterbinden das Mitarbeiter oder Angreifer sich zum Beispiel das Backup vom Laptop der Geschäftsleitung besorgen.

Gibt es da etwas?

 

[k_e_x]

open-source oder darf es auch etwas kosten?

 

[minimike]

open-source oder darf es auch etwas kosten?

OpenSource wäre mir am liebsten. Dann gibt es keine Probleme mit ich darf das nicht in dieser oder dieser Konfiguration betreiben..

 

[k_e_x]

Du kannst dir mal EJBCA anschauen. Das bietet auch Support für HSMs. [1]

Wenn der Rahmen eher klein ist reicht eigentlich auch OpenSSL, wo man recht schnell ein Skript/GUI herumgebastelt haben kann für die EingabeParameter. (Nutzung: 1 CA + kleiner-50 Nutzer-Zertifikate).

Problematisch sehe ich die Berechtigungen, da wer temporär Zugriff auf den privaten Schlüssel das CA Zertifikates hatte sich beliebige Zertifikate ausstellen könnte (das müsste entsprechend protokolliert werden usw).

Schlüsselverwaltung/Lagerung muss entsprechend gesichert sein, da kommt man um ein HSM kaum herum.

Kommerzielle Lösungen (eine wo ich selber mitgearbeitet habe) nur per PM :-)

[1]: http://ejbca.org/older_releases/ejbca_3_10/htdocs/index.html#Open Source PKI