如果用“自建 CA ”这些关键字去进行搜索,那么好多篇幅都是介绍 openssl 做自签证书那种方式介绍攻略。。。 自建完整的 CA,似乎介绍不多,是不是完整独立管理的 CA 系统,是商业授权要购买的?

1、那么如果想完整地实现 CA 的功能,如 CRL 撤销列表,以及把分发证书管理起来的事情,是否有现成的方案? 2、当然不会想做到这个 CA 是权威在公开网的,只是小型封闭环境里玩玩,做做实验而已。。。 3、看文档的介绍,理论上搞好 CA 服务器后,把 CA 的服务器作为 PC 系统( WIN )信任的一方,而 client 和 server,使用这台 CA 签发的证书,跟权威的 CA 使用起来,并无不同吧?

感谢各位热心解答!!

证书 完整 封闭 介绍11 条回复 • 2018-05-01 15:10:37 +08:00
kanu 1
kanu 2018-04-30 21:19:19 +08:00 via Android
有个叫 XCA 的图形化工具
nolo 2
nolo 2018-04-30 21:27:40 +08:00
是想做劫持吗?
f2f2f 3
f2f2f 2018-04-30 21:31:20 +08:00
@nolo 很多单位内部都有这种需求的好吧,为什么要做有罪定述?
cchange 4
cchange 2018-04-30 21:38:46 +08:00 via iPhone
有些地方不能连接互联网 这会儿就得用这些了
RX03 5
RX03 2018-04-30 22:35:49 +08:00 via Android
大学密码学大作业和同学一起写了个简单的 CA,后来自己又重构了一版: https://www.jianshu.com/p/3661d70138da
不过验收完就没维护过了哈哈哈,到处是坑?做做实验应该勉强能用,抛砖引玉啦(ฅ´ω`ฅ)
xfspace 6
xfspace 2018-04-30 22:48:03 +08:00 via Android
openssl 就能实现你的需求….
sinv 7
sinv 2018-04-30 23:56:51 +08:00 via iPhone
你要找的是 EJBCA 吗?
STRRL 8
STRRL 2018-05-01 04:48:11 +08:00 via Android
如果我没记错的话 Windows Server 貌似自带这个?
DravenJohnson 9
DravenJohnson 2018-05-01 05:44:35 +08:00
都是 openssl 做,https://blog.didierstevens.com/2013/05/08/howto-make-your-own-cert-and-revocation-list-with-openssl/ 这个不全但是可以看看
virusdefender 10
virusdefender 2018-05-01 13:58:03 +08:00
https://github.com/letsencrypt/boulder

11
julyclyde 2018-05-01 15:10:37 +08:00
你问的应该是 PKI best practice 之类的东西
有个 RFC3647 可以看看
另外还有 https://cabforum.org/baseline-requirements-documents/ 这里