Eigene CA/PKI betreiben

Bytesplit

Bytesplit

Burn, Baby, Burn
Hallo Leutles,

ich habe inzwischen doch ein paar Zertifikate zu verwalten und wollte jetzt endlich einen sinnvollen Ablauf zur Erstellung und Verwaltung meiner Zertifikate.

Angefangen hatte es eigentlich mit dem SSL meines HTTP-Servers, dann kam es irgendwie auch zu 802.1x und als ich's denn raushatte gings auch mit OpenVPN/IPsec weiter.

Bis jetzt habe ich alles so eher manuell gemacht, hat aber jedes mal SEHR lange gedauert bis ich nach dem Jahr das abgelaufene Zertifikat wieder ans laufen bekommen habe. Mit Freunden die das inzwischen auch einsetzen muss jetzt alles mal bischen professioneller werden.

Nebenbei: In IE 7 bekomme ich meine CA auch nicht rein, wie auch in Firefox 3. Scheint an den neueren Extension Attributen zu liegen.

Was ist zu empfehlen? Wie verwaltet ihr eine CA? ActiveDirectory? Nicht wirklich oder?
 
Huh? Wieso vergleichst du eine CA mit einem ActiveDirectory? Ersteres signiert oder verteilt Zertifikate, wobei der Distributionsweg erstmal eher egal ist. Letzteres ist eine Ausprägung eines LDAP-Systems, mit dem du Sachen wie SingleSignOn implementieren kannst.

bzgl. CA: schau dir mal TinyCA an. auch openssl hat schon eine eingebaute simple ca-engine (suckt aber eigentlich). Ich kann auch nur empfehlen nach sowas in der Art zu suchen: http://www.google.de/search?hl=de&q=openssl+make+ca&btnG=Google-Suche&meta=
 
ich meinte ActiveDirectory, weil das ein schönes UI ist, wo man auch Zertifikate verwalten kann. Dumm ist halt, dass Du dann nicht weisst was in den Zertifikaten drinne steckt und wie es zu all dem drumherum so kommt. Klickibunti eben.

TinyCA sieht ganz interessant aus. OpenPKI scheint auch in die richtige Richtung zu gehen... werde wohl mal das ein oder andere installieren dürfen.
 
Wenn Du zuviele Resourcen hast, kann ich EJBCA empfehlen. Ist etwas größer, bietet aber jede Menge Möglichkeiten, gepaart mit einer umfangreichen und leicht bedienbaren Web-Oberfläche.
Ist IMHO neben OpenCA das einzig wirklich Nutzbare in Sachen open-source in der Richtung. OpenCA ist natürlich schlanker und robuster, hat aber auch seine Eigenheiten und bietet weniger Funktionalität.
Irgendwie ist der Vergleich zwischen EJBCA und OpenCA für mich persönlich mal wieder etwas ähnliches, als würde man Java/C (oder hier eben perl), Linux/BSD oder Gnome/wmii vergleichen. Die einen mögen es eben komfortabler auf Kosten von Performance und Hintergrundwissen, die anderen frickeln gerne und wollen sicher sein, zu verstehen, was sich hinter den Kulissen abspielt ;)
 
EJBCA sieht echt interessant aus. Java wirkt auf mich ja immer etwas "oversized", in diesem Falle machts aber nen recht kompetenten Eindruck.

Ich probiers mal aus...

Danke für den Tipp!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben