Альтернатива openSSL

Question

У меня есть научный проект по созданию коммуникатора с инфраструктурой открытого ключа. Для связи между сервером и клиентами я буду использовать SSL/TLS, и мне нужны для них сертификаты. Я должен создать Центр сертификации с CRL, и я могу сделать это с помощью openSSL, но этот инструмент подходит только для ручного администрирования, чтобы не делать сертификаты автоматически в удаленном ЦС.

Должно быть ясным: клиенты должны зарегистрироваться и подключиться к коммуникатору с использованием сертификатов, но они должны быть невидимыми для них. Я попытался запустить openSSL как процесс на Java, но он не работает должным образом - my previous problem.

У вас есть хороший совет для создания простой PKI?

Answer 1

Вы можете использовать и удлинять EJBCA. Это требует некоторого привыкания, но у него есть поддержка некоторых HSM, и нетрудно создать небольшую PKI с ней. Открытый исходный код.

Answer 2

Замена простых операций OpenSSL - это Bouncy castle. Чтобы иметь лучшую поддержку CA, вы также должны использовать EJBCA. Для создания сертификатов автоматически на клиенте (я предполагаю, что вы используете клиентский веб-браузер) немного сложнее. Некоторые браузеры могут генерировать частные ключи клиента и затем подписываться сервером ЦС. Generating client side certificates in browser and signing on server В этом случае я бы также использовал EJBCA, чтобы сделать его управляемым.