Re: PKI self-service
On Wed, Sep 14, 2016 at 11:55:21AM +0300, Bogdan wrote:
> Ищу решение для самообслуживания: нужно дать возможность авторизованным
> пользователям выпускать клиентские сертификаты и автоматически подписывать
> их специальным отдельным CA-ключем.
"Автоматически подписывать их специальным отдельным CA-ключем" означает,
что это ключ должен быть нешифрован и находиться в сетевом доступе.
> Авторизация пользователей - во LDAP. Очень желательно иметь автоматическое
> управление CRL/OCSP (пользователь пропал из LDAP - все его сертификаты
> автоматически отзываются)
И для этой задачи нужно держать нешифрованный ключ CA в сетевом доступе.
> Как такой тип ПО вообще правильно называется, задача очевидная и должна
> иметь ряд решений, но не могу задать правильный вопрос гуглу.
Правильный ответ: openssl и руки. В модуле "ca" есть вполне рабочий набор
функционала для массовой (поточной) обработки, который можно вставить
в полностью автоматизированную среду. Проверено, работает.
--
Eugene Berdnikov
Reply to: