Anchor是一款轻量级的PKI服务软件,支持自动验证证书请求并签发客户端证书,通过签发短期有效的证书来解决证书撤销问题。它采用插件式架构,支持多种证书签发插件,并提供了几种认证方式。
Anchor简介
Anchor提供轻量级的PKI服务,可以自动验证证书请求文件以及签发客户端证书。所签发证书的有效期通常比较短(一般是12-24小时)。
PKI系统通常存在一个严重问题,即证书的撤销(如何保证一个已经被撤销的证书不再被信任),现有的两种证书撤销方法(CRL/OCSP)均无法有效解决这个问题。通过签发短生命周期的证书,Anchor可以有效解决PKI系统中证书撤销的问题
安装
Anchor目前只支持从源码安装,安装前必须先安装一些必须的依赖:
python 2.7
python (dev files)
libffi (dev)
libssl (dev)
克隆anchor仓库:
git clone https://git.openstack.org/openstack/anchor && cd anchor
python setup.py install
使用
服务启动
Anchor服务支持两种启动方式:
pecan serve anchor/config.py
这种方式适用于调试模式,启动后默认监听本地5016端口
uwsgi --http-socket :5016 --pecan config.py -p 4
这种方式适用于生产环境中
服务认证
Anchor支持三种认证方法:static/keystone/ldap
Static:认证所用的用户名/密码明文保存在配置文件中,适用于调试模式
Keystone:只需在配置文件中配置keystone服务的endpoint即可进行验证
LDAP:认证所需信息明文保存在配置文件中
支持后端
Anchor的证书签发功能支持插件式扩展,目前已经集成了两种插件:
cryptography.io
PKCS#11
Anchor应用情况
Anchor在OpenStack中的应用很少,目前还未见到Anchor与OpenStack中的服务集成。
扫一扫
8956
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
