Dev /

RealizzazioneDiUnaCertificationAuthority

Per realizzare una federazione SIP basata su di una Domain Policy, occorre gestire una Certification Authority (CA) idonea a rilasciare i certificati digitali ai soggetti che vogliono aderire. Per questo, ci si può servire degli strumenti offerti da OpenSSL, come ad es. lo script CA.pl, oppure di interfacce grafiche eseguibili sul proprio computer, come ad esempio TinyCA o gnoMint.

Ma il desiderio, è di ridurre al minimo l'impegno di gestione della CA, ovvero, di ricorrere ad interfacce Web realizzate in modo da automatizzare la maggior parte delle operazioni necessarie, mascherando le operazioni svolte dietro le quinte mediante gli strumenti di OpenSSL. In tal caso, abbiamo individuato alcuni progetti interessanti, sui quali abbiamo iniziato un lavoro di valutazione:

On this page... (hide)

PyCA

Una Certification Authority scritta in Python, il cui sviluppo si è arrestato nel 2003.

OpenCA

L'ultimo rilascio stabile di OpenCA è del 2006, e la documentazione, estremamente esauriente, va letta più volte prima di riuscire adissipare tutti i dubbi possibili. Il wiki non è molto ricco, mentre le slides della presentazione al Fosdem2006, pur non così semplici da trovare (ma noi ci siamo riusciti), danno un punto di vista sul percorso di sviluppo. Il sito demo, anche se sembra che abbia interrotto l'emissione di certificati ad ottobre 2007, è regolarmente funzionante, ed abbiamo richiesto anche noi un certificato come Sub-CA. A questo punto, probabilmente la migliore descrizione di massima del funzionamento, è tuttora quella fornita da Xenitellis, ed il miglior how-to in italiano (anche se privo di elementi concettuali) è quello di Pensato. Ma ci sono buone novità: lo sviluppatore principale scrive una email recente (27 Marzo 2008) in cui afferma che un nuovo rilascio è imminente. Intanto, proviamo a installare la versione 0.9.3-rc1.

OpenXPKI

E' un progetto forkato da OpenCA, presso il cui sito viene rilasciato un package per Linux Debian, anche se ufficialmente non stabile. Il manuale, ancora una volta, risulta incompleto, ma nella sezione documentazione possiamo trovare un buon articolo sulla Architettura, ed alcune delucidazioni sul supporto offerto dai browsers, ad esempio nella generazione di una chiave privata durante la generazione di una Certificate Signing Request. Per esportare chiave e certificato, sembrerebbe sia necessario disporre di pk12util presente nel package libnss3-tools:




Pagine che puntano a questa: