Es gibt mehrere kommerzielle PKI-Lösungen, die zum einen Komplex in der Handhabung sind und zum anderen horrende Kosten verursachen. Daher suchen immer mehr Kunden – insbesondere im Industrie-, IoT- und Embedded-Markt – nach Open-Source-Tools, die Zertifikate für ihren Bedarf bereitstellen können.

Lassen Sie uns die verfügbaren Open-Source-PKI-Angebote zusammenfassen:

OpenSSL: Es gibt verschiedene Anleitungen für die Verwendung des Linux-Tools OpenSSL zur Erstellung von Schlüsseln und einer einstufigen CAs. Die Schlüssel befinden sich normalerweise als Datei im Linux-Dateisystem. Die Implementierung der Schlüsselverwendung und der erweiterten Schlüsselverwendung erfordert eine umfangreiche Anpassung der Konfigurationsdatei /etc/ssl/openssl.cnf. Mit Hilfe von Linux-Shell-Skripten können regelmäßige Aufgaben automatisiert werden, aber dies erfordert eine kundenspezifische Entwicklung von hoch privilegierten Aufgaben. GUI? Fehlanzeige!

XCA: Eine kleine OpenSSL-basierte Windows-Anwendung zur Verwaltung von asymmetrischen Schlüsseln, CAs, CRLs, CSRs und X.509-Zertifikaten. Alle Objekte werden in einer Dateidatenbank gespeichert. Die Zertifikatsverwaltung ist nur mit der Windows-Anwendung möglich, es wird keine Automatisierung oder API angeboten.

EJBCA Community Edition: Eine Java-basierte PKI-Software, entwickelt von PrimeKey Solutions AB. EJBCA Community ist eine ältere Version der EJBCA Enterprise Edition, die nur eine radikal eingeschränkte Funktionsunterstützung und Community-Support bietet.

DogTag: Eine auf Apache Tomcat basierende PKI für Fedora Linux, die von einer Open-Source-Community gepflegt wird. Einrichtung und Wartung erfordern hochqualifiziertes JAVA-Personal. DogTag bietet sowohl eine CLI als auch eine Web-GUI, erfordert aber zwingend einen 389 Directory Server (früher Fedora Directory Server).

OpenXPKI: Ist eine Perl-basierte PKI-Lösung für Debian 10 (Buster), wobei nur die funktionsreduzierte Community-Edition kostenlos ist. Die Dokumentation ist dürftig und die Unterstützung der Gemeinschaft wird nur über eine Mailingliste angeboten. Sie werden keine bekannten Probleme oder aktuelle Veröffentlichungshinweise finden, es sei denn, Sie kaufen die teure Enterprise-Edition.

OpenCA: Ist eine frühe Open-Source-PKI, die auf Apache HTTP Server, OpenLDAP und OpenSSL basiert. Unglücklicherweise wurde die Entwicklung 2013 eingestellt. Die letzte Version v1.5.1 stammt vom September 2013. OpenXPKI ist weithin als die erfolgreiche Abspaltung von OpenCA bekannt.

XiPKI: Eine Apache Tomcat/Java JRE/JDK-basierte PKI, die von Lijun Liao, einem chinesischen Entwickler, der für Huawei in Deutschland arbeitet, gepflegt wird (Stand: Januar 2022, Quelle: LinkedIn). Bei Fragen bitten Sie Ihre Java-Entwickler. Es ist besser, sich den Quellcode auf GitHub anzusehen, als auf eine verständliche Dokumentation zu hoffen.

Open-Source PKI Fazit

Alle Open-Source-PKI-Lösungen sind entweder nur auf bestimmten Betriebssystemen verfügbar oder verfügen über eingeschränkte Funktionen und sehr begrenzten Support. Im Jahr 2021 haben wir beschlossen, eine einfach zu bedienende PKI-Lösung unter der Marke se.SAM™ zu entwickeln, die folgende Merkmale aufweist:

  1. Intuitive Bedienung – PKI-Betrieb für Nicht-Krypto-Experten
  2. Sofort einsatzfähig – kein Implementierungsaufwand
  3. Hardware-Sicherheit für Schlüssel
  4. Verwaltung vieler Root-CAs und Issuing-CAs auf einmal
  5. Unterstützung für RSA- und ECC-Algorithmen einschließlich Brainpool
  6. Skalierbar von 50 bis zu Hunderttausenden von X.509 Zertifikaten
  7. Beseitigung komplexer Ausstellungsabläufe
  8. Vollständig automatisierbarer Ausstellungsprozess über REST API
  9. Deckt moderne IT-, OT-, IoT- und IIoT-Anwendungsfälle ab
  10. Sehr günstige Gesamtkosten in Kombination mit der HSM-Hardware

Für die se.SAM™ PKI werden Bundles für die 19″ se.SAM™ N200 Crypto Appliance und se.SAM™ N200X 24-48V Industrial DIN Rail lüfterlose Appliance verfügbar sein.

Hier die ersten Screenshots der se.SAM™ PKI (Early Bird Version von März 2022)

Lesen Sie auch die folgenden ergänzenden Informationen:

Kontaktieren Sie uns für mehr Informationen:

Weitere Beiträge

Klicke hier, um Ihren eigenen Text einzufügen