PKI enrollment

[Dzavy]

Unika mi neco nebo linux nema zadnej slusnej software/protokol pro PKI (auto)enrollment s vlastni CA? Jakoze na serverovy strane HTTP API a pak jednoduchej klient, kterej submitne CSR a dostane zpatky certifikat podepsanej CA? Plus by to asi melo umet stahnout CA, CRL atd.

Momentalne koukam na DogTag + SCEP. SCEP je naprosta tragedie, je to reverzni inzenyring Cisca a jedinej linuxovej klient je asi sto let starej a v desnym stavu. Pak koukam na EJBCA, to je taky solidne zastaraly a dost odpudivy. Let's Encrypt (s vlastni CA + boulder) pro me jeste neni dost hotovej, dokumentace prakticky neexistuje.

Puppet a Saltstack to umej (master umi automaticky/rucne vydat certfikaty) - ale tipuju to asi nebude nic moc standardizovanyho.

Nejaky napady?

[Reklama]

[xxx]

Co je konkretne na EJBCA zastarane a preco nevyhovuje?

[j]

Neboj, oni to pridaj do systemd, a fungovat to bude presne stejne jako na widlich => ze cert expiroval a neobnovil se zjistis presne v okamziku, kdy veci prestanou fungovat.

[Dzavy]

Co je konkretne na EJBCA zastarane a preco nevyhovuje?

1. Dost desiva instalace, viz http://ejbcacentos.blogspot.co.uk/ - ale to bych asi prezil
2. Dokumentace neprehledna, screenshoty s IE5 na duveryhodnosti fakt nepridavaji
3. Pokud to chapu dobre, pro enrollment to umi SCEP (viz moje zkusenosti s DogTag), CMP (CMP klient existuje jenom jako nejakej pochybnej a neudrzovanej patch pro OpenSSL) a pak mozna nejaky jejich WS (ke kterym existuje pochybnej klient, kterej potrebuje javu).
4. Nic z toho neni v zadnym repository/balickovacim systemu, coz je minimalne podezrely.


Co ja chci - na strane serveru asi dokazu rozbehat cokoliv, na klientovi chci co nejstandardnejsi/nejjednodussi reseni idealne bez zavislosti - crosscompilovatelny C++ programek, bash/curl skript, atd. Ten SSCEP by to i splnoval, kdyby nebyl v tak tragickym stavu...

Neboj, oni to pridaj do systemd, a fungovat to bude presne stejne jako na widlich => ze cert expiroval a neobnovil se zjistis presne v okamziku, kdy veci prestanou fungovat.

Haha bohuzel/nastesti systemd se me netyka. A ve Windows to nahodou funguje hezky, nikdy jsem s tim nemel problem.

[xxx]

Asi zalezi na tom, kolko tych certifikatov spravujes a co je pre teba pripustna rezia na rozbehanie.  Ak je za tym nejaky seriozny prinos, asi je jedno, ci nejaky serverovy produkt rozbehas za 1h alebo 1d.  Ked som EJBCA rozbehaval, nebolo to extra zlozite. Nebolo to, ze stacim enter a vsetko sa nainstaluje a nastavi, ale ked som siel podla navodu, robilo to, co malo.

[Reklama]

[Dzavy]

Asi zalezi na tom, kolko tych certifikatov spravujes a co je pre teba pripustna rezia na rozbehanie.  Ak je za tym nejaky seriozny prinos, asi je jedno, ci nejaky serverovy produkt rozbehas za 1h alebo 1d.  Ked som EJBCA rozbehaval, nebolo to extra zlozite. Nebolo to, ze stacim enter a vsetko sa nainstaluje a nastavi, ale ked som siel podla navodu, robilo to, co malo.

Jak rikam, nejdulezitejsi je pro me podpora na strane klienta. Na strane serveru opravdu rozbeham cokoliv, co bude mit smysl.