我正在pipe理一个基于Linux的小型企业networking。 用户信息集中存储在OpenLDAP目录中。 现在有一个现有的CA用于签署服务器证书。 它使用EasyRSA进行pipe理。 我目前的项目是build立一个VPN远程访问networking以及基于802.1X的WiFi。 我想为两者使用客户端证书。
我想避免必须手动创build每个客户端证书。 理想情况下,将会有一个Web服务来对用户进行LDAPvalidation,并允许他们在没有pipe理员干预的情况下创build一个已签名的客户端证书。 这样的服务可以做一个中间的CA.
有没有一个项目,免费或商业,让我做到这一点? 理想的基于Linux的,因为这将适合现有的环境最好的。 在研究过程中,我偶然发现了OpenCA和EJBCA,而且这些看起来是高度可configuration的。 但是目前还不清楚这些function是否可以提供。
另外: 我发现了一个提到Active Directory证书服务的指南,这似乎基本上是我需要的。 向下滚动到“在Windows 7上生成用户证书”,显示该过程。 但是,由于这不是一个Windowsnetworking,所以没有Active Directory的另一个解决scheme是首选。
我创build了一个Makefile来处理这个问题。 所以我永远不需要记住任何openssl命令! :-)我用它来注册服务器证书和客户端证书,甚至是智能卡上的证书。 我也可以撤销证书并发布CRL。
嗯,我只是在github上创build了一个回购,所以你可以看看。
OpenCA是相当酷和威武。 但是我认为这不是维护活动。 用户将在浏览器中注册他的证书,但之后他将不得不导出证书…