Я видел много OpenSSL Certificate Authority "как сделать" для Linux, но если я планирую создать собственный центр сертификации для внешней и внутренней сети WAN ...
Нет. Если ваша установка Linux работает с более чем 0% дискового пространства, все будет в порядке
Запустите тест, убедитесь сами, что производительности достаточно:
openssl speed rsa2048
Для хранения вам потребуется около 4 КБ на сертификат, и в зависимости от того, сколько сертификатов вы будете отозвать, от нескольких КиБ до 20 МБ для CRL.
При этом я настоятельно рекомендую не использовать сырые openssl
для запуска производственного центра сертификации. Его настройки по умолчанию ... специфичны ... и с его помощью чрезвычайно легко выстрелить себе в ногу (знаете ли вы, какие флаги KeyUse и Extended Key Use должны иметь ваши сертификаты?). Это инструмент отладки, а не производственный интерфейс для libcrypto.so
и определенно не для libssl.so
.
Я бы предложил использовать Dogtag или даже лучше, FreeIPA для полностью управляемой системы.
Минимальная функциональная командная строка, только openssl CA практически ничего не требует. База данных ключей и сертификатов для ~ 100 сертификатов будет меньше 100 КБ хранилища.
Генерация и подпись ключей / сертификатов могут быть немного медленными, если вы используете действительно низкопроизводительный процессор. Но это влияет только на создание / генерацию ключей / сертификатов.
В целом это не очень хорошая идея, но если вы планируете использовать эту же систему в качестве точки распространения для списков отзыва сертификатов, вам потребуется достаточно ресурсов для запустить минимальный веб-сервер, который может обслуживать статические файлы. Но на самом деле это тоже не требует многого.
Если вы хотите использовать один из этих модных веб-центров сертификации, например. EJBCA , тогда ваши требования к ресурсам резко возрастут.
Мне не нравится использовать только инструменты cli, поэтому вам может понадобиться достаточно ресурсов для запуска чего-то вроде xca . Что по-прежнему не требует многого.