Какое ПО применяется для генерации ssl сертификата?

Question

IOV @auditor

Разработчик

Цифровые сертификаты

Какое ПО применяется для генерации ssl сертификата?

Интересует ОП для развёртывания PKI. Не openssl, полагаю крупные УЦ (Certification Authorities) явно его не используют.
И что вообще может потребоваться для развёртывания? Какие требования к серверам и их характеристикам? Возможно кто-то изучал или работает в этой сфере.

Заранее благодарю за любую информацию!

Вопрос задан более трёх лет назад
166 просмотров

4 комментария

Подписаться 2 Оценить 4 комментария

nirvimel @nirvimel

Почему вы считаете, что крупные CA не могут использовать OpenSSL или какой-нибудь его форк, заточенный для собственных нужд?

Написано более трёх лет назад
IOV @auditor Автор вопроса

nirvimel: я не считаю так, а предполагаю. Многие CA существовали ещё до первого релиза OpenSSL, и не могли его использовать.

Про OpenSSL достаточно много информации, но мне не удалось найти никакой информации о других системах для развёртывания PKI.

Написано более трёх лет назад
nirvimel @nirvimel

Яр: Предполагаю, что крупные CA используют собственные форки OpenSSL, прошедшие аудит безопасности, обрезанные от всех фрагментов, не прошедших аудит, и дополненные каким-то собственным функционалом.

Написано более трёх лет назад
KeyDoo @KeyDoo

Что-то мне тоже кажется, что у вас какие-то возвышенные предположения о софте УЦ. Ничего даже близкого к openssl нет, поэтому это или openssl или какая-то "in house" разработка, о которой вы никакой инфы не получите.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Цифровые сертификаты

Простой
Что не так с запросом сертификата Let's encrypt?
- 1 подписчик
- вчера
- 132 просмотра
1

ответ
Системное администрирование

+1 ещё

Простой
Кто блокирует сертификат и что делать?
- 2 подписчика
- 20 нояб.
- 1001 просмотр
4

ответа
VPN

+1 ещё

Простой
Как продлить сертификат панели 3X-UI?
- 1 подписчик
- 19 нояб.
- 310 просмотров
2

ответа
Ubuntu

+2 ещё

Простой
Не работает ssl bump в squid, что я делаю не так?
- 2 подписчика
- 05 нояб.
- 134 просмотра
1

ответ
Цифровые сертификаты

Простой
Можно ли защитить 80 порт во время выпуска сертификата Let's Encrypt?
- 1 подписчик
- 29 окт.
- 183 просмотра
2

ответа
Windows Server

+2 ещё

Средний
Как сделать бесплатный SSL-сертификат для сайта и IceCast на Windows Server 2022?
- 1 подписчик
- 27 окт.
- 227 просмотров
2

ответа
Windows

+3 ещё

Простой
Почему FortiClient VPN после подключения по SSL замораживает ОС Windows?
- 1 подписчик
- 25 окт.
- 126 просмотров
0

ответов
iOS

+3 ещё

Простой
Почему не работает VPN SSL на iOS?
- 1 подписчик
- 25 окт.
- 73 просмотра
1

ответ
htaccess

+1 ещё

Простой
Переадресация. Если сайт может открыть https то откроет а если не может то останется на http. Как это можно сделать?
- 1 подписчик
- 23 окт.
- 132 просмотра
1

ответ
VPN

+3 ещё

Средний
Сертификаты OpenVPN (EasyRSA, OpenSSL). Как они работают и в чем смысл их использования?
- 1 подписчик
- 18 окт.
- 289 просмотров
2

ответа
Показать ещё Загружается…

Digital-маркетолог Middle+

Кодмастерс Тула • Тбилиси

от 100 000 ₽

Администратор PostgreSQL

Гринатом

До 200 000 ₽

Fullstack-разработчик (PHP / VueJS)

Bash Today

от 200 000 до 230 000 ₽

Разработать админ панель на yii2

22 нояб. 2024, в 19:51

15000 руб./за проект

VPN приложение на Android

22 нояб. 2024, в 19:15

200000 руб./за проект

Разработать скрипт-парсер для новостного сайта

22 нояб. 2024, в 18:50

30000 руб./за проект

Почему вы считаете, что крупные CA не могут использовать OpenSSL или какой-нибудь его форк, заточенный для собственных нужд?
nirvimel: я не считаю так, а предполагаю. Многие CA существовали ещё до первого релиза OpenSSL, и не могли его использовать.

Про OpenSSL достаточно много информации, но мне не удалось найти никакой информации о других системах для развёртывания PKI.
Яр: Предполагаю, что крупные CA используют собственные форки OpenSSL, прошедшие аудит безопасности, обрезанные от всех фрагментов, не прошедших аудит, и дополненные каким-то собственным функционалом.
Что-то мне тоже кажется, что у вас какие-то возвышенные предположения о софте УЦ. Ничего даже близкого к openssl нет, поэтому это или openssl или какая-то "in house" разработка, о которой вы никакой инфы не получите.

Answer 1 · 2015-11-09 09:33:41

Для промышленного использования посоветую OpenTrust PKI или neXus Certificate Manger. Для личного использования или для небольших инсталляций можете посмотреть retrust.me.
При выборе PKI есть ряд нюансов. Например: какие сертификаты вы планируете выпускать, какая схема выпуска (централизованная, децентрализованная), нужна ли поддержка SCEP, нужен ли OCSP, требуется ли выпускать сертификаты в соответствии с ГОСТ, планируется ли архивирование ключей шифрования и пр.
Технически развертывание не такое сложное. Важно продумать варианты использования PKI, архитектуру, разработать политики и регламенты, назначить "хранителей ключей", провести key ceremony...
Требования к железу зависят от софта. Но в общем случае вам может понадобится:
- offline CA либо в виде сервера либо в виде флэшки (нескольких флэшек)
- online CA - виртуалка или отдельный сервер
- HSM - для защиты ключей
Банально, но упомяну, что для всего нужно иметь резерв по оборудованию.

И да, я работаю в этой сфере.

Какое ПО применяется для генерации ssl сертификата?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт