Vpn

具有使用者自助服務的 SSL 客戶端證書解決方案

  • August 6, 2014

我正在管理一個基於 linux 的小型企業網路。使用者資訊集中儲存在 OpenLDAP 目錄中。有一個現有的 CA,目前用於簽署伺服器證書。它使用 EasyRSA 進行管理。我目前的項目是設置一個用於遠端訪問網路的 VPN 以及一個基於 802.1X 的 WiFi。我想對兩者都使用客戶端證書。

我想避免手動創建每個客戶端證書。理想情況下,會有一個 Web 服務根據 LDAP 對使用者進行身份驗證,並允許他們在沒有管理員干預的情況下創建簽名的客戶端證書。可以為這種服務製作一個中間 CA。

是否有一個免費或商業項目允許我這樣做?理想情況下基於 Linux,因為這將最適合現有環境。在研究過程中,我偶然發現了 OpenCA 和 EJBCA,它們似乎是高度可配置的。但目前尚不清楚這些是否能夠提供此功能。

另外: 我找到了一個提到 Active Directory 證書服務的指南,這似乎基本上是我需要的。向下滾動到顯示該過程的“在 Windows 7 上生成使用者證書”。但是,由於這不是 Windows 網路,因此首選沒有 Active Directory 的另一種解決方案。

我創建了一個 Makefile 來處理這個問題。所以我永遠不需要記住任何 openssl 命令!:-) 我用它來註冊伺服器證書和客戶端證書,甚至是智能卡上的證書。我還可以吊銷證書並發布 CRL。

嗯,我剛剛在github上創建了一個repo ,大家可以看看。

OpenCA 相當酷和強大。但我認為它不再是activley維護了。使用者將在瀏覽器中註冊他的證書,但之後他必須導出證書……

引用自:https://serverfault.com/questions/617901