Я пытаюсь создать частные центры сертификации и видел много руководств с использованием команды openssl ca для достижения задача. Однако в странице руководства я вижу следующие строки:
образец минимального приложения CA
Утилита ca изначально задумывалась как пример того, как что-то делать в CA. Он не должен был использоваться как полноценный СА: тем не менее некоторые люди используют его для этой цели.
Звучит так, как будто команда не должна использоваться для выполнения задач CA.
Так что мои вопросы таковы. :
На техническом уровне база данных текстовых файлов, используемая OpenSSL, не допускает одновременный доступ, что может поставить под угрозу вашу базу данных.
Когда вы используете какое-либо программное обеспечение для подписи сертификата, вы просто применяют функцию к запросу на подпись сертификата. В результате получается сертификат. Независимо от того, какое программное обеспечение вы используете для этого, выходные данные будут иметь тот же формат - сертификат X509.
Для запуска центра сертификации необходимо, чтобы вы были в состоянии убедить доверяющие стороны в том, что подписываемые вами сертификаты заслуживают доверия. В частности, когда вы подписываете сертификат, вы подтверждаете, что, насколько вам известно, закрытый ключ принадлежит объекту, указанному в сертификате, и никакому другому объекту. Таким образом, доверяющие стороны должны иметь возможность доверять тому, что названный объект является тем, кем / чем они себя называют, и никаким другим.
Чтобы управлять центром сертификации и завоевать доверие ваших доверяющих сторон, вам нужно сделать гораздо больше, чем подписать сертификат. Например, вам потребуется:
. Большая часть усилий, затрачиваемых на разработку и внедрение центра сертификации, связана с политики и процедуры, необходимые для поддержания доверия. Большая часть усилий, затрачиваемых на операции CA, связана с тем, чтобы обеспечить строгое соблюдение политик и процедур.
К сожалению, хотя OpenSSL с радостью создаст сертификат для вас, он терпит неудачу во всех других точках - например, там не является контролем доступа и не хранит транзакции в журнале аудита и т. д. Между тем программное обеспечение, специально написанное для этой задачи, учитывает множество дополнительных требований, необходимых для работы надежного центра сертификации.
Подводя итог - если вы играете, почувствуйте себя бесплатно использовать OpenSSL;если вам нужно доверие , используйте что-нибудь получше.