O que é uma boa autoridade de certificação X.509 apoiada em banco de dados no Linux?

Question

O que é uma boa autoridade de certificação X.509 apoiada em banco de dados no Linux?

#1 resposta do (0 votos)

2

Estou usando o OpenSSL como uma autoridade de certificação X.509. Como várias máquinas precisarão criar certificados, eu exportei a pasta de autoridade de certificação em um sistema de arquivos distribuído.

Quando enfatizo meu CA fazendo centenas de solicitações simultâneas de assinatura de certificados, ocasionalmente vejo erros estranhos, como

unable to rename ./index.txt.attr.new to ./index.txt.attr
reason: No such file or directory

Não tenho certeza se este é um bug do OpenSSL ou um problema com meu sistema de arquivos distribuído, mas usar arquivos de texto para armazenar todos os dados de certificado geralmente é ruim para acesso simultâneo, então prefiro mudar para uma arquitetura mais robusta que depurar esse problema específico.

Idealmente, gostaria de uma autoridade de certificação que armazene seu estado em um banco de dados adequado em vez de arquivos de texto. Não parece que o OpenSSL pode fazer isso. A documentação do parâmetro do banco de dados no link diz

the text database file to use. Mandatory. This file must be present though initially it will be empty.

Alguém poderia recomendar uma boa autoridade de certificação X.509 com base em banco de dados de código aberto para Linux?

openssl database linux x509

por Anand Patil 11.10.2013 / 22:29

1 resposta

Tags openssl database linux x509

Linux para múltiplas apresentações de slides independentes para produções teatrais? NFS do MacOS para o Centos no virtualbox

score 0 · Accepted Answer

Eu recomendaria OpenCA PKI . Eu tive um bom olhar em volta para este tipo de coisa há um tempo atrás, e é a única coisa que se encaixava na conta. Eu não fui rigoroso, mas o software parece bom; a documentação, no entanto, é extremamente deficiente. Este arquivo PDF deve ajudá-lo a começar a trabalhar. Eles também têm um respondente do OCSP que você pode usar (que eu ainda não tentei).

Eu testei este software há algum tempo, mas ainda não o coloquei em produção. Você pode rodar o PostgreSQL ou o MySQL, e acredito que eu o estaria usando com o MySQL (minha preferência), mas não consigo me lembrar. Parei de usá-lo porque me distraí com outros projetos, não porque o software não estava funcionando.

Eu me lembro de ter ficado muito impressionado com o OpenCA. (Para o registro, eu não sou afiliado com o projeto em tudo.)