Есть ли проблемы с использованием «openssl ca»?
Я пытаюсь создать частные центры сертификации и видел много руководств с использованием команды openssl ca для достижения задача. Однако в странице руководства я вижу следующие строки:
образец минимального приложения CA
Утилита ca изначально задумывалась как пример того, как что-то делать в CA. Он не должен был использоваться как полноценный СА: тем не менее некоторые люди используют его для этой цели.
Звучит так, как будто команда не должна использоваться для выполнения задач CA.
Так что мои вопросы таковы. :
- Есть ли проблемы при использовании openssl ca , или эти строки просто описывают некоторые исторические факты?
- Какой способ создания частных центров сертификации является предпочтительным, если они есть?
На техническом уровне база данных текстовых файлов, используемая OpenSSL, не допускает одновременный доступ, что может поставить под угрозу вашу базу данных.
Когда вы используете какое-либо программное обеспечение для подписи сертификата, вы просто применяют функцию к запросу на подпись сертификата. В результате получается сертификат. Независимо от того, какое программное обеспечение вы используете для этого, выходные данные будут иметь тот же формат - сертификат X509.
Для запуска центра сертификации необходимо, чтобы вы были в состоянии убедить доверяющие стороны в том, что подписываемые вами сертификаты заслуживают доверия. В частности, когда вы подписываете сертификат, вы подтверждаете, что, насколько вам известно, закрытый ключ принадлежит объекту, указанному в сертификате, и никакому другому объекту. Таким образом, доверяющие стороны должны иметь возможность доверять тому, что названный объект является тем, кем / чем они себя называют, и никаким другим.
Чтобы управлять центром сертификации и завоевать доверие ваших доверяющих сторон, вам нужно сделать гораздо больше, чем подписать сертификат. Например, вам потребуется:
- Сохранить транзакцию в базе данных
- Убедиться, что запрашивающая сторона хранит закрытый ключ, связанный с открытым ключом в запросе сертификата
- Гарантировать, что только у вас есть доступ к закрытому подписанию ключ, используемый для подписи запроса
- Убедитесь, что ваш CA управляет всеми уполномоченными лицами.
- Запишите все транзакции, чтобы они были доступны для аудита
- Определите процессы для запроса, отзыва, обновления сертификатов и т. д.
- Здесь многое, многое другое - прочтите RFC 3647 - Политика сертификатов инфраструктуры открытых ключей Internet X.509 и концепция сертификации , чтобы получить представление о том, что требуется
. Большая часть усилий, затрачиваемых на разработку и внедрение центра сертификации, связана с политики и процедуры, необходимые для поддержания доверия. Большая часть усилий, затрачиваемых на операции CA, связана с тем, чтобы обеспечить строгое соблюдение политик и процедур.
К сожалению, хотя OpenSSL с радостью создаст сертификат для вас, он терпит неудачу во всех других точках - например, там не является контролем доступа и не хранит транзакции в журнале аудита и т. д. Между тем программное обеспечение, специально написанное для этой задачи, учитывает множество дополнительных требований, необходимых для работы надежного центра сертификации.
Подводя итог - если вы играете, почувствуйте себя бесплатно использовать OpenSSL;если вам нужно доверие , используйте что-нибудь получше.