我正在运行许多SSL加密的网站,并需要生成证书以在这些网站上运行。它们都是内部应用程序,因此我不需要购买证书,可以自己创建。
我发现每次都使用openssl进行所有操作非常繁琐,我认为这种事情可能已经被做过了,存在相应的软件。
我更喜欢基于Linux的系统,并且希望使用命令行系统而不是GUI。
有人有建议吗?
7个回答
8
如果您不想使用自己的CA,可以从CAcert获取免费证书。
我觉得方便的做法是在我的客户端机器上添加这两个CAcert根证书,然后我就可以通过CAcert管理所有SSL证书了。
- Ted Percival
1
+1 给 CACert。我过去使用过他们,发现服务简单易用且非常有效。自我认证路线也是可行的,但我发现 CACert 与设置 CA 所需的学习曲线之间的差异太大了。 - ZombieSheep
6
很可能自签名会给你想要的东西;如果你想知道如何完成并创建自己的脚本,这里有一页提供了一个不错的自签名指南。
这个回答中最初的脚本链接遗憾地失效了,我无法找到它的存档,但是有很多预先打包的shell脚本替代品。
如果你正在寻找支持相当全面的自签名,那么tldp.org中802.1x认证指南建议使用FreeRADIUS的自签名辅助脚本。或者,如果你只需要快速且简单的自签名,则Ron Bieber在他的博客bieberlabs.com上提供了他的“脑残脚本”。
当然,还有许多替代脚本,但这似乎提供了一个很好的选择范围,通过指南中的一些额外信息,你应该能够将这些脚本量身定制以满足你的需求。
另外,值得检查一下SSL证书HOWTO。它现在已经很老了(最后更新于2002年),但它的内容仍然相关:它解释了如何使用OpenSSL软件提供的
这个回答中最初的脚本链接遗憾地失效了,我无法找到它的存档,但是有很多预先打包的shell脚本替代品。
如果你正在寻找支持相当全面的自签名,那么tldp.org中802.1x认证指南建议使用FreeRADIUS的自签名辅助脚本。或者,如果你只需要快速且简单的自签名,则Ron Bieber在他的博客bieberlabs.com上提供了他的“脑残脚本”。
当然,还有许多替代脚本,但这似乎提供了一个很好的选择范围,通过指南中的一些额外信息,你应该能够将这些脚本量身定制以满足你的需求。
另外,值得检查一下SSL证书HOWTO。它现在已经很老了(最后更新于2002年),但它的内容仍然相关:它解释了如何使用OpenSSL软件提供的
CA Perl/Bash脚本。- paan
4
2也许现在应该取消接受这个答案,因为链接已经无法访问了。 - florin
好主意。我会浏览其他答案,看看是否有任何一个应该成为新的被接受的答案。 - kaybenleroll
1我将死链接更新为了一个互联网档案链接,由于我无法找到paan的原始网站,所以我找到了几个其他替代品并放入其中(作为WebCite,除了FreeRADIUS的下载页面,因此它们不会失效);在过程中,我对答案进行了相当大的修改,因为它很简短,并且一部分内容已经不再相关。希望这对某人有帮助。 - shelleybutterfly
干得好,@shelleybutterfly。我发现这些链接很有用,所以我点赞了这个答案。既然这是一个社区维护的Wiki,我还添加了一个SSL证书HOWTO的链接。 - Anthony Geoghegan
6
我知道你说你更喜欢命令行,但对于其他对此感兴趣的人来说,TinyCA是一款非常易于使用的GUI CA软件。我在Linux和OSX上都使用过它。
- sherbang
1
是的,我喜欢TinyCA,但发现需要在GUI中运行有限制,因为有时我只能通过shell访问某些机器。 - kaybenleroll
5
XCA软件似乎维护得不错(版权所有2012年,使用Qt4),具有良好记录和足够简单的用户界面,并在Debian、Ubuntu和Fedora上提供包。
不要以貌取人,先看看这个添加新CA的漂亮指南: http://xca.sourceforge.net/ 您可以在那里看到应用程序的屏幕截图:http://sourceforge.net/projects/xca/ 但它是基于GUI的,而不是命令行。请参考这个漂亮的指南来添加新的CA: http://xca.sourceforge.net/xca-14.html#ss14.1
不要以貌取人,先看看这个添加新CA的漂亮指南: http://xca.sourceforge.net/ 您可以在那里看到应用程序的屏幕截图:http://sourceforge.net/projects/xca/ 但它是基于GUI的,而不是命令行。请参考这个漂亮的指南来添加新的CA: http://xca.sourceforge.net/xca-14.html#ss14.1
- Emmanuel Touzery
1
如果您需要快速且简单的基于GUI的CA,XCA非常不错。通过使用XCA,您可以学到很多关于证书的知识。 - moosaka
2
- user172649
1
这个链接无法使用。但是这里有另一个基于Web的解决方案:mCertAuth http://www.methodica.ch 注意:它不是免费软件,我是作者。但是,我们可以讨论为stackoverflow会员提供特别折扣。 - hherger
2
我喜欢使用OpenVPN提供的easy-rsa脚本。这是一组命令行工具,用于创建OpenVPN所需的PKI环境。 但是,通过轻微更改(也提供的)openssl.cnf文件,您可以几乎创建任何想要的内容。 我将其用于自签名ssl服务器证书以及与Bacula备份一起使用,并为“真实”证书创建私钥/ csr。 只需下载OpenVPN社区版源代码tarball并将easy-rsa文件夹复制到Linux机器上。您会在openvpn社区页面上找到大量文档。
我曾经使用过CAcert,它也很好,但您必须自己创建CSR,因此必须再次使用openssl,而证书仅有效期半年。这很烦人。
- Thomas
1
我创建了一个用Bash编写的 OpenSSL包装脚本,可能对你有用。对我而言,在使用OpenSSL时最容易出现用户错误的来源是:
使用/分叉/PR走!希望能帮到你。
- 保持一致和逻辑性的命名方案,使我通过查看文件名/扩展名就可以看到每个工件如何适合整个PKI。
- 强制在使用脚本的所有CA机器上保持一致的文件夹结构。
- 通过CLI指定过多的配置选项,并且可能会忽略一些细节。
使用/分叉/PR走!希望能帮到你。
- brianclements
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接