Я видел много Центр сертификации OpenSSL "как делать" для Linux, но если я планирую создать наш собственный центр сертификации для сети WAN, как внешней, так и внутренней ...
Проведите тест, убедитесь, что производительности достаточно:
openssl speed rsa2048
Для хранения вам потребуется около 4 КиБ на сертификат, и в зависимости от того, сколько сертификатов вы будете отозвать, от нескольких КиБ до 20 МБ для CRL.
При этом я настоятельно рекомендую не использовать сырые openssl для запуска производственного центра сертификации. Его значения по умолчанию ... специфичны ... и это чрезвычайно им легко прострелить себе ногу (знаете ли вы, какие флаги KeyUse и Extended Key Use должны быть у ваших сертификатов?). Это инструмент отладки, а не производственный интерфейс для libcrypto.so и определенно не один libssl.so.
Я бы предложил использовать Солдатский жетон или даже лучше, FreeIPA для полностью управляемой системы.
Нет. Если у вас установлен Linux, работающий с более чем 0% дискового пространства, все должно быть в порядке
Минимальная функциональная командная строка, только openssl CA практически ничего не требует. База данных ключей и сертификатов для ~ 100 сертификатов будет меньше 100 КБ хранилища.
Генерация и подпись вашего ключа / сертификата могут быть немного медленными, если вы используете действительно низкий процессор. Но это влияет только на создание / генерацию ключей / сертификатов.
Обычно это не очень хорошая идея, но если вы планируете использовать эту же систему в качестве точки распространения для списков отзыва сертификатов, вам потребуется достаточно ресурсов для запуска минимального веб-сервера, который может обслуживать статические файлы. Но и для этого многого не нужно.
Если вы хотите использовать один из этих причудливых веб-центров сертификации например EJBCA тогда ваши потребности в ресурсах резко возрастут.
Мне не нравится использовать только инструменты cli, поэтому вам может потребоваться достаточно ресурсов для запуска чего-то вроде xca. Что по-прежнему не требует многого.