11

我正在运行许多 SSL 加密的网站,并且需要生成证书才能在这些网站上运行。它们都是内部应用程序,所以我不需要购买证书,我可以创建自己的。

我发现一直使用 openssl 做所有事情都非常乏味,并且认为这可能是以前做过的事情,并且存在用于它的软件。

我更喜欢基于 linux 的系统,我更喜欢命令行系统而不是 GUI。

有人有什么建议吗?

4

7 回答 7

7

不需要您自己的 CA 的选项是从CAcert获取证书(它们是免费的)。

我发现将两个 CAcert 根证书添加到我的客户端计算机很方便,然后我可以通过 CAcert 管理所有 SSL 证书。

于 2008-08-20T15:34:06.663 回答
5

我知道你说你更喜欢命令行,但是对于对此感兴趣的其他人,TinyCA是一个非常易于使用的 GUI CA 软件。我在 Linux 和 OSX 中都使用过它。

于 2008-09-07T16:03:39.907 回答
5

自签名很可能会为您提供所需的东西。这是一个页面(链接由 web.archive.org 复活),如果您想了解如何完成以及如何创建自己的脚本的详细信息,它提供了一个体面的自签名指南。

不幸的是,此响应中的原始脚本链接已失效,我无法找到它的存档,但有许多预滚动 shell 脚本的替代方案。

如果您正在寻找支持功能相当全面的自签名的东西,那么来自 tldp.org的 802.1x 身份验证指南建议使用来自FreeRADIUS的自签名帮助脚本。或者,如果您只需要快速和肮脏,那么 Ron Bieber 在他的博客 bieberlabs.com 上提供了他的“脑死亡脚本”进行自我签名。

当然,那里有许多替代脚本,但这似乎提供了很好的选择范围,并且通过指南中的一些额外信息,您应该能够定制这些以执行您需要的任何操作。

检查SSL Certificates HOWTO也是值得的。它现在已经很老了(最后一次更新是 2002 年),但它的内容仍然是相关的:它解释了如何使用CAOpenSSL 软件提供的 Perl / Bash 脚本。

于 2008-08-28T02:40:55.317 回答
4

XCA 软件看起来维护得相当好(版权所有 2012,使用 Qt4),具有良好的文档和足够简单的用户界面,并且在 debian、ubuntu 和 fedora 上有软件包。

不要第一眼就判断网站:http: //xca.sourceforge.net/

相反,请查看这个不错的演练以添加新的 CA:http: //xca.sourceforge.net/xca-14.html#ss14.1

您可以在那里看到应用程序的屏幕截图:http: //sourceforge.net/projects/xca/

它是基于 GUI 的,而不是命令行的。

于 2013-04-26T08:01:02.933 回答
1

有一个简单的网页解决方案:https ://www.ibm.com/developerworks/mydeveloperworks/blogs/soma/entry/a_pki_in_a_web_page10

于 2009-09-13T01:09:05.960 回答
1

我喜欢使用 OpenVPN 提供的 easy-rsa 脚本。这是一组命令行工具,用于创建 OpenVPN 所需的 PKI 环境。但是通过对(也提供的)openssl.cnf 文件的轻微更改,您可以使用它创建几乎任何您想要的东西。我将其用于自签名 ssl 服务器证书以及 Bacula 备份以及为“真实”证书创建私钥/csr。只需下载 OpenVPN 社区版源代码压缩包并将 easy-rsa 文件夹复制到您的 linux 机器。你会在 openvpn 社区页面上找到很多文档。

以前用的是CAcert,也不错,但是CSR要自己创建,所以要重新用openssl,而且certs aer只有半年有效。这很烦人

于 2012-02-13T10:15:04.717 回答
0

我为 OpenSSL 创建了一个用 Bash 编写的包装脚本,在这里可能对您有用。对我来说,使用 OpenSSL 时最简单的用户错误来源是:

  1. 为配置/证书/密钥保持一致且合乎逻辑的命名方案,以便我可以通过查看文件名/扩展名来了解每个工件如何适合整个 PKI
  2. 在使用该脚本的所有 CA 机器上强制实施一致的文件夹结构。
  3. 通过 CLI 指定太多配置选项并丢失一些细节

策略是将所有配置推送到它们自己的文件中,只保存 CLI 特定操作的执行。该脚本还强烈强制在此处对文件夹/文件使用特定的命名方案,这在查看任何单个文件时很有帮助。

使用/分叉/公关!希望能帮助到你。

于 2015-01-22T17:58:39.010 回答