超级会员免费看
加密技术实践指南
1. 创建本地CA
当面向公众的网站需要获得信任时,从商业CA购买证书是个不错的选择。但对于组织内部使用而言,购买商业证书并非总是必要或可行的。例如,组织内的开发人员需要客户端证书访问开发服务器,为每个开发人员购买商业证书成本高昂,且开发服务器需有公开可访问的域名以供商业CA进行域名验证。免费的Let’s Encrypt证书也不合适,同样要求开发服务器有公开域名。自签名证书也不可行,因为客户端认证无法使用自签名证书。因此,最佳选择是搭建一个私有的本地CA。
在网上搜索搭建私有CA的指南,大多已过时,且很多是关于使用OpenSSL搭建的。使用OpenSSL搭建CA本身没问题,但过程复杂,需多阶段操作,搭建完成后还需使用复杂的命令行命令。我们需要一个对用户更友好的解决方案。
2. 实践:搭建Dogtag CA
Dogtag PKI搭建更简单,且有OpenSSL没有的出色Web界面。在Debian/Ubuntu和CentOS的常规软件仓库中均可获取,但包名不同。Debian/Ubuntu仓库中包名为 dogtag-pki ,CentOS仓库中为 pki-ca 。
在安装Dogtag包之前,需完成以下简单任务:
- 在服务器上设置完全限定域名(FQDN)
- 在本地DNS服务器为Dogtag服务器创建记录,或在其 /etc/hosts 文件中添加条目
由于Dogtag依赖Tomcat Java小程序服务器,在Ubuntu上无法正常工作,因此我们在CentOS 7虚拟机上进行操作(编写本文时,Dogt
订阅专栏 解锁全文
扫一扫
8946
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
