[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: PKI self-service



On Wed, 14 Sep 2016 11:55:21 +0300
Bogdan <bogdar@gmail.com> wrote:

> Добрый день!
> 
> Ищу решение для самообслуживания: нужно дать возможность
> авторизованным пользователям выпускать клиентские сертификаты и
> автоматически подписывать их специальным отдельным CA-ключем.
> 
> Авторизация пользователей - во LDAP. Очень желательно иметь
> автоматическое управление CRL/OCSP (пользователь пропал из LDAP - все
> его сертификаты автоматически отзываются)
> 
> Как такой тип ПО вообще правильно называется, задача очевидная и
> должна иметь ряд решений, но не могу задать правильный вопрос гуглу.
> 
> Спасибо.
> 

Такой тип ПО называется "Удостоверяющий центр" или "Certification
authority". Вот только готовых тиражируемых решений для вот такого
(экстремально низкого) уровня безопасности, когда авторизованный
пользователь может сам себе без дополнительных проверок выписать
клиентский сертификат, я не знаю.

EasyRSA она все таки про случай, когда все сертификаты под контролем
одного системного администратора.

Так то в принципе оно за полдня пишется на базе утилиты openssl.
Только еще какой poll для ldap придется написать, чтобы отслеживать
изменения в ldap. И понадобится явно интерфейс для отзыва сертификата
авторизованным пользователем без удаления этого пользователя из ldap.
--



Reply to: