我有一个学术项目,用公钥基础设施建立沟通者。对于服务器和客户端之间的通信,我将使用SSL / TLS,我需要它们的证书。我必须使用CRL构建证书颁发机构,我可以使用openSSL执行此操作,但此工具仅适用于手动管理,不适用于在远程CA中自动生成证书。
要明确:客户必须使用证书注册并登录到通信器,但应该使它们不可见。我尝试在Java中运行openSSL作为进程,但它无法正常工作 - my previous problem。
对于制作简单的PKI有什么好建议吗?
答案 0 :(得分:1)
您可以使用和扩展EJBCA。它需要一些习惯,但它支持一些HSM,并且用它创建一个小的PKI应该不难。开源。
答案 1 :(得分:0)
OpenSSL的简单操作的替代品将是Bouncy castle。要获得更好的CA支持,您还应该使用EJBCA。 在客户端自动创建证书(我假设您使用客户端Web浏览器)有点棘手。某些浏览器可以生成专用客户端密钥,然后由CA服务器对其进行签名。 Generating client side certificates in browser and signing on server 在这种情况下,我还会使用EJBCA使其易于管理。