openSSL的替代方案

Question

我有一个大学项目来建立与公钥基础设施的沟通。对于服务器和客户端之间的通信，我将使用SSL/TLS，并且我需要证书。我必须使用CRL构建证书颁发机构，并且可以使用openSSL来完成此任务，但此工具仅适用于手动管理，不适用于在远程CA中自动创建证书。

要清楚：客户必须使用证书进行注册并登录到通信器，但应该使其不可见。我试过在Java中运行openSSL，但它不能正常工作 - my previous problem。

对于简单的PKI，你有什么好建议吗？

Answer 1

您可以使用和扩展EJBCA。它需要一些习惯，但它支持一些HSM，并且它不应该很难创建一个小的PKI。开源。

Answer 2

简单的OpenSSL操作的替代品将是Bouncy城​​堡。要获得更好的CA支持，您还应该使用EJBCA。 要在客户端自动创建证书（我假设您使用客户端Web浏览器）有点棘手。某些浏览器可以生成专用客户端密钥，然后由CA服务器对其进行签名。 Generating client side certificates in browser and signing on server 在这种情况下，我还会使用EJBCA使其易于管理。