我一直使用 OpenSSL 作为 X.509 证书颁发机构。由于多台机器需要创建证书,因此我已将证书颁发机构文件夹导出到分布式文件系统上。
当我通过进行数百个并发证书签名请求对我的 CA 进行压力测试时,我偶尔会看到一些奇怪的错误,例如
unable to rename ./index.txt.attr.new to ./index.txt.attr
reason: No such file or directory
我不确定这是 OpenSSL 错误还是我的分布式文件系统的问题,但使用文本文件保存所有证书数据似乎通常不利于并发访问,因此我宁愿切换到更强大的架构,也不愿调试这个特定问题。
理想情况下,我希望证书颁发机构将其状态存储在适当的数据库中,而不是文本文件中。OpenSSL 似乎无法做到这一点。数据库参数的文档位于http://www.openssl.org/docs/apps/ca.html#CONFIGURATION_FILE_OPTIONS说
the text database file to use. Mandatory. This file must be present though initially it will be empty.
有人可以推荐一个适用于 Linux 的好的开源数据库支持的 X.509 证书颁发机构吗?
答案1
我建议OpenCA PKI。不久前我仔细研究过这类东西,这是唯一符合要求的东西。我并不严谨,但软件看起来不错;然而,文档却非常缺乏。此 PDF 文件应该可以帮助你开始使用。他们还有一个OCSP 响应器您可以使用(我还没有尝试过)。
我之前测试过这个软件,但还没有投入生产。你可以运行 PostgreSQL 或 MySQL,我相信我会用 MySQL(我的偏好)来使用它,但我记不清了。我停止使用它是因为其他项目让我分心,而不是因为软件不能用。
我记得我对 OpenCA 印象非常深刻。(需要说明的是,我与该项目没有任何关系。)