Eine Sktiptsammlung zum Aufbau einer sehr einfachen CA Infrastruktur. Damit steht das das nötige Handwerkszeug zur Verfügung, um z.B. eine einfache PKI aufzubauen. Sie hat jedoch zahlreiche Einschränkungen, so werden CRLs nicht automatisiert erstellt (kann man aber mit einem Skript machen) und es gibt keinen OCSP Server. In vielen Fällen reicht jedoch so eine einfache Lösung. Für den Unternehmenseinsatz ist diese Lösung allerdings nicht geeignet.

X.509 Zertifikate

X.509 Zertifikate eigenen sich sehr gut für alle Arten der Authentifizierung. Der große Vorteil liegt darin, dass man keine Passwörter mehr durch die Weltgeschichte schicken muss, sondern dass grundsätzlich ein private/public Verfahren zur Anwendung kommt. Weiterhin können X.509 Zertifikate auf Smartcards gespeichert werden, so das mit einfachen Mitteln eine 2Faktoren Authentifizierung implementiert werden kann. Es spielt dabei keine Rolle, ob kontaktbehaftete oder RFID Smartcards verwendet werden. In dieser Lösung wird nur mit normalen Files gearbeitet, damit man auch ohne Smartcards testen kann. Durch Anpassung der OpenSSL Config können jedoch auch Smartcards eingebunden werden.

Die Skriptsammlung ist unter https://github.com/ip6li/pki zu finden.

Die Skripte wurden deutlich erweitert, so können nun auch sinnvolle Clientzertifikate erstellt werden, ebenso werden Zertifikate auf Basis elliptischer Kurven besser unterstützt. In der Skriptsammlung befindet sich auch eine Lösung zur Erstellung von PKCS#12 Certificatestores.