Я запускаю несколько SSL-зашифрованных веб-сайтов и должен создавать сертификаты для их запуска. Все они являются внутренними приложениями, поэтому мне не нужно приобретать сертификат, я могу создать свой собственный.
Мне было довольно утомительно делать все, используя openssl все время, и полагаю, что это то, что, вероятно, было сделано раньше, и для него существует программное обеспечение.
Мои предпочтения относятся к системам на базе Linux, и я бы предпочел систему командной строки, а не графический интерфейс.
Есть ли у кого-нибудь предложения?
Опция, которая не требует вашего собственного ЦС, заключается в получении сертификатов от CAcert (они бесплатны).
Мне удобнее добавить два корневых сертификата CAcert на мои клиентские компьютеры, тогда я могу управлять всеми SSL-сертификатами через CAcert.
Вероятно, самоподписание даст вам то, что вам нужно; вот страница (ссылка воскрешена web.archive.org), которая обеспечивает достойное руководство для самоподписывания, если вы хотите узнать в том числе и о том, как это сделать и как создать свой собственный script.
Оригинальная ссылка script из этого ответа, к сожалению, мертва, и я не смог найти ее архив, но есть много альтернатив для предварительно прокатанных сценариев оболочки.
Если вы ищете что-то, чтобы поддерживать довольно полнофункциональное самоподписание, это руководство для аутентификации 802.1x от tldp. org рекомендует использовать вспомогательные скрипты для самоподписывания из FreeRADIUS. Или, если вам просто нужно быстро и грязно, тогда Рон Бибер предлагает "мозг-мертв script" для самоподписывания в своем блоге на bieberlabs.com.
Конечно, есть много альтернативных сценариев, но это, кажется, дает хороший выбор, и с небольшой дополнительной информацией из руководства вы должны быть в состоянии адаптировать их, чтобы делать все, что вам нужно.
Также стоит проверить SSL Certificates HOWTO. Это довольно старый (последний обновленный 2002), но его содержание по-прежнему актуально: в нем объясняется, как использовать CA Perl/Bash script с программным обеспечением OpenSSL.
Я знаю, что вы сказали, что предпочитаете командную строку, но для других, которые этого интересуют, TinyCA - это очень простое в использовании программное обеспечение GUI CA. Я использовал это как в Linux, так и в OSX.
Программное обеспечение XCA выглядит достаточно хорошо поддержанным (авторское право на 2012 год, использует Qt4), с хорошо документированным и достаточно простым пользовательским интерфейсом и имеет пакеты на debian, ubuntu и fedora.
Не судите сайт с первого взгляда: http://xca.sourceforge.net/
Скорее, проверьте это замечательное прохождение, чтобы добавить новый CA: http://xca.sourceforge.net/xca-14.html#ss14.1
Вы можете увидеть снимок экрана приложения: http://sourceforge.net/projects/xca/
Это GUI-based, хотя и не для командной строки.
Там есть простое решение для веб-страницы: https://www.ibm.com/developerworks/mydeveloperworks/blogs/soma/entry/a_pki_in_a_web_page10
Мне нравится использовать скрипты easy-rsa, предоставляемые OpenVPN. Это набор инструментов командной строки, используемых для создания среды PKI, требуемой для OpenVPN. Но с небольшим изменением файла openssl.cnf(также предоставленного) вы можете создать почти все, что захотите. Я использую это для самостоятельного подписания сертификатов сервера ssl, а также с резервной копией Bacula и для создания секретных ключей /csr для "реальных" сертификатов. просто загрузите исходный tar файл сообщества OpenVPN и скопируйте папку easy-rsa на свою Linux-машину. вы найдете много документации на страницах сообщества openvpn.
Я использовал CAcert, это тоже приятно, но вам нужно создать CSR самостоятельно, поэтому вам нужно снова использовать openssl, а certs aer действителен только полгода. это раздражает
Я создал обертку script, написанную в Bash, для OpenSSL, которая может быть вам полезна здесь. Для меня самыми легкими источниками ошибок пользователя при использовании OpenSSL были:
Стратегия состоит в том, чтобы вставить все конфигурации в свои собственные файлы, сохранив только выполнение определенного действия для CLI. script также настоятельно рекомендует использовать конкретную схему именования для папок/файлов, что полезно при просмотре любого отдельного файла.
Используйте/Вилка/PR! Надеюсь, что это поможет.