私は多数の SSL 暗号化 Web サイトを実行しており、これらで実行する証明書を生成する必要があります。これらはすべて内部アプリケーションであるため、証明書を購入する必要はなく、独自のアプリケーションを作成できます。
常にopensslを使用してすべてを行うのは非常に面倒であることがわかりました.これはおそらく以前に行われた種類のことであり、そのためのソフトウェアが存在すると考えています.
私の好みは Linux ベースのシステムで、GUI よりもコマンドライン システムの方が好きです。
誰か提案はありますか?
独自の CA を必要としないオプションは、CAcertから証明書を取得することです (無料です)。
2 つの CAcert ルート証明書をクライアント マシンに追加すると便利だと思います。そうすれば、CAcert を介してすべての SSL 証明書を管理できます。
自己署名によって、必要なものが得られる可能性があります。ここにあるページ(web.archive.org によって復活したリンク) は、自己署名がどのように行われるか、独自のスクリプトを作成する方法の詳細を知りたい場合に、自己署名の適切なガイドを提供します。
残念ながら、この応答からの元のスクリプト リンクは無効になっており、そのアーカイブを見つけることができませんでしたが、事前にロールされたシェル スクリプトの代替手段が数多くあります。
かなりフル機能の自己署名をサポートするものを探している場合は、tldp.orgのこの 802.1x 認証ガイドでは、 FreeRADIUSの自己署名用のヘルパー スクリプトを使用することを推奨しています。または、手っ取り早い方法が必要な場合は、Ron Bieber がbieberlabs.com のブログで自己署名用の「脳死スクリプト」を提供しています。
もちろん、そこには多くの代替スクリプトがありますが、これは幅広い選択肢を提供するようであり、ガイドからの少しの追加情報で、必要なことを行うためにこれらを調整できるはずです.
SSL Certificates HOWTOも確認する価値があります。今ではかなり古い (最終更新は 2002 年) ですが、その内容は今でもCA有効です。OpenSSL ソフトウェアで提供される Perl / Bash スクリプトの使用方法を説明しています。
コマンドラインの方が好きだとおっしゃっていましたが、これに興味がある人にとっては、TinyCAは非常に使いやすい GUI CA ソフトウェアです。私はこれを Linux と OSX の両方で使用しました。
OpenVPNで提供されているeasy-rsaスクリプトを使用するのが好きです。これは、OpenVPNに必要なPKI環境を作成するために使用されるコマンドラインツールのコレクションです。ただし、(提供されている)openssl.cnfファイルを少し変更するだけで、必要なものをほぼすべて作成できます。私はこれをsslサーバー証明書の自己署名、Baculaバックアップ、および「実際の」証明書の秘密鍵/csrの作成に使用します。OpenVPN Community Editionのソースtarballをダウンロードし、easy-rsaフォルダーをLinuxマシンにコピーするだけです。openvpnコミュニティページにはたくさんのドキュメントがあります。
以前はCAcertを使用していましたが、これも便利ですが、CSRを自分で作成する必要があるため、opensslを再度使用する必要があり、証明書は半年間しか有効ではありません。これは迷惑です
簡単な Web ページ ソリューションがあります: https://www.ibm.com/developerworks/mydeveloperworks/blogs/soma/entry/a_pki_in_a_web_page10
Bash で記述された OpenSSL 用のラッパー スクリプトを作成しました。私にとって、OpenSSL を使用する際のユーザー エラーの最も簡単な原因は次のとおりです。
戦略は、すべての構成を独自のファイルにプッシュし、CLI の特定のアクションの実行のみを保存することです。このスクリプトは、ここでフォルダー/ファイルに特定の命名スキームの使用を強く強制します。これは、単一のファイルを見るときに役立ちます。
使用/フォーク/PR アウェイ! それが役に立てば幸い。