PKI Paket

[catweazle71]

Hallo zusammen,

mit dem DSM ist es ja sehr einfach möglich, eine zweistufige PKI aufzusetzen. Eine Root-CA, die dann sämtliche Nutzerzertifikate ausgeben kann, und das alles ohne Konsole.

Ich suche jedoch nach einer etwas umfangreicheren Lösung. Ich würde gerne eine 3-stufige PKI (Root, SubCA(s), Endnutzer) aufbauen, Sperrlisten generieren und veröffentlichen können, Zertifikate in einen öffentlichen Vezeichnisdienst kopieren etc.

Gibt es für die Synology bereits ein solches Paket? 3rd-Party?

Danke und Gruß

 

[embii]

Ich habe dies letztes Jahr auch mal gesucht, aber nichts gefunden, was einfach und "intergriert" ist.

Ich habe mit auf der DS nun manuell eine OpenSSL PKI aufgebaut.
Ein gutes Tutorial findet man hier: http://pki-tutorial.readthedocs.org/en/latest/index.html

 

[Peter_Lehmann]

Hallo embii,
und willkommen im Forum!

Und du glaubst wirklich, dass sich catweazle71 nach 11 Monaten noch für deine Anwort interessiert? ;-)

Aber wenn du diesen alten Thread schon mal aufgewärmt hast, will ich auch darauf antworten.
Ich bin ja nun auch ein großer "Bastler" und lasse mir auch gern etwas einfallen, aber eine "PKI" auf einem NAS (welches vermutlich den ganzen Tag am Netz hängt) zu installieren, würde mir nie im Leben einfallen!
Eine PKI, oder konkret die CA, gehört auf ein vollkommen abgeschottetes Gerät, welches keinen oder schlimmstenfalls nur temporären Netzzugang haben darf. Wenn das nicht gewährleistet ist, kannst du deine "PKI" vergessen. Was auf einem durchlaufenden und im Netz erreichbaren Server laufen "darf", ist höchstens die eigentliche Antragstellung, wo ein Nutzer seine Daten eingeben darf, welche dann später nach der Registrierung (RA, Personenidentifizierung) der eigentlichen CA zugeführt und dort weiter bearbeitet werden, und natürlich auch der Server, welcher die Zertifikate an die Antragsteller ausliefert. Im Endeffekt würde dann so etwas herauskommen, was als openCA schon lange bekannt und realisiert ist.

Aber willst du das wirklich so mächtig aufziehen? Oder reicht es dir vlt., pro Jahr einige Dutzend Zertifikate (und evtl. auch Schlüssel) herzustellen? Dann schau dir mal das unter Linux und auch auf der WinDOSe laufende Programm "XCA" an. Mit diesem Programm stelle ich schon ein paar Jahre lang jährlich einige Hundert Zertifikate für Menschen her, welche ihre Privatsphäre durch die Verschlüsselung ihrer E-Mails schützen wollen.

Das schöne an diesem Programm ist nicht nur, dass es eine intuitiv zu bedienende Oberfläche besitzt, und zusammen mit seiner Datenbank nach Beendigung des Programms in einem verschlüsselten PW-geschützten Container verschwindet, sondern auch die Möglichkeit Templates für alle Arten von X.509-Zertifikate zu erzeugen. Also für S/MIME-User, diverse VPN, TLS-Server usw.


MfG Peter