Я администрирую сеть малого бизнеса на базе Linux. Информация о пользователях централизованно хранится в каталоге OpenLDAP. Существует существующий центр сертификации, который в настоящее время используется для подписи сертификатов сервера. Управляется с помощью EasyRSA. Мой текущий проект - настроить VPN для удаленного доступа к сети, а также Wi-Fi на основе 802.1X. Я бы хотел использовать клиентские сертификаты для обоих.
Я бы не хотел создавать каждый сертификат клиента вручную. В идеале должна быть веб-служба, которая аутентифицирует пользователей по LDAP и позволяет им создавать подписанный сертификат клиента без вмешательства администратора. Может быть создан промежуточный CA для такой службы.
Есть ли проект, бесплатный или коммерческий, который позволяет мне это делать? В идеале на основе Linux, поскольку это лучше всего подходит для существующей среды. Во время исследования я наткнулся на OpenCA и EJBCA, и они кажутся легко настраиваемыми. Но остается неясным, способны ли они обеспечить эту функциональность.
Дополнение: Я нашел руководство упомянув службы сертификации Active Directory, которые, похоже, в основном то, что мне нужно. Прокрутите вниз до «Создать сертификат пользователя в Windows 7», в котором показан процесс. Однако, поскольку это не сеть Windows, предпочтительнее другое решение без Active Directory.
Я создал Makefile, чтобы справиться с этим. Так что мне никогда не нужно запоминать команды openssl! :-) Я использовал его для регистрации сертификатов серверов и клиентов и даже сертификатов на смарт-картах. Я также могу отзывать сертификаты и публиковать CRL.
Хм, я только что создал репо на github, чтобы вы могли взглянуть на.
OpenCA довольно крутой и мощный. Но я думаю, что это больше не поддерживается. Пользователь зарегистрирует свой сертификат в браузере, но потом ему придется экспортировать сертификат ...