Looking for useable CA software

Posted by on Friday, March 3. 2006

To support my experiments with OpenVPN, I have been trying to evaluate different CA software packages in Debian. With devastating results.

I tried

pyca
tinyca
easy-rsa (from the openvpn package)

pyca

Pros

command line

Cons

Unmaintained upstream
Quite underdocumented - the maintainer doesn't think so and closed #355177.
Didn't work when I tried it

tinyca

pros

seems easily useable

cons

has a GUI and is thus not suitable for very old boxes as CA host
version in unstable gets in endless loop after CA certification
version in testing crashes without error message if default values for CA are changed
version in testing succeeds in creating CA and then displays a GUI that doesn't accept any mouse clicks

easy-rsa

pros

easily useable
Only CA tried that actually worked in creating certificates for first OpenVPN installation

cons

not properly packages - only in examples directory of OpenVPN package
creates CA without password!

openca

not packaged for Debian (see #141748)

openxpki

split from openca in October 2005
Has not yet released any code

conclusion

All software sucks. Does Debian have CA software that is actually useable?

Trackbacks

Trackback specific URI for this entry

Zugschlusbeobachtungen on Tuesday, March 6. 2007: EasyRSA on Debian for an OpenVPN CA

Show preview

After asking for useable CA Software, I have finally settled on using EasyRSA. This is what I did to come across\nthe packaging shortcomings of EasyRSA in Debian. Storing your CA Be sure that your CA is stored in a secure place. Don’t store i

Comments

Display comments as Linear | Threaded

ixs on Saturday, March 11. 2006:

sigh Dein Blogartikel trifft einen ganz wunden Punkt: Es gibt nur grottige CA-Software im OpenSource-Bereich.

Entweder sind sie einfach nur Grottig, oder Featurelos, oder viel zu kompliziert oder absolut unbedienbar.

PyCA setzen wir bei Bawue.Net momentan für unsere interne CA ein. Es läuft zwar gut, hat aber auch einen Haufen Schwächen. Im Endeffekt benutze ich doch wieder die Kommandozeilen Utilities von OpenSSL mit der entsprechenden Configurationsdatei von PyCA. Dafür ist das WebInterface brauchbar und die CA kann ordentlich CRLs erzeugen.

Easy-RSA von OpenVPN ist ja nicht wirklich mehr als ein aufgebohrtes Shell-Script. Es ist ausreichend für eine kleine CA für die x509 Authentifizierung, aber sobald die CA wirklich verschiedene Cert-Typen (Server, Client, Auth, CodeSigning) trennen soll, wird es kompliziert und hässlich.

OpenCA ist noch das Stück Software, dass man eigentlich verwenden will. Es kann alles, was eine richtige CA braucht, kann CRLs und OCSP als Real-Time Alternative zu den CRLs, was insbesondere im Auth-Bereich wichtig ist. Aber die Software ist so komplex und unangenehm zu installieren, dass man sie wieder nicht nutzen will. Gerade im Semi-Professionellen Bereich möchte man gerne alles auf einem Gerät haben, was mit OpenCA nicht gerade erleichtert wird.

So langsam setze ich meine Hoffnungen ja auf den Netscape Certification Server. Der Code wurde von RedHat auch übernommen, als sie die Netscape Reste von AOL gekauft haben. Evtl. wird es da ja in der naechsten Zeit auch mal eine OpenSource Release geben.

Wouter Verhelst on Wednesday, June 28. 2006:

OpenSSL itself also comes with a CA script. It is command-line based, pretty easy to use, and does allow you to create a CA PEM file with password. Like the rest of OpenSSL, it Just Works(tm).

On Debian, it's installed as /usr/lib/ssl/misc/CA.sh. Run it with -help to see the possible command-line options; you'll find that they're pretty self-explanatory.

manatorg on Tuesday, August 15. 2006:

you might have a look at this: http://www.hohnstaedt.de/xca/xca.html

seems to work, although i do not know if its still alive.

cheers.

Daniel on Wednesday, July 25. 2007:

I installed it, the installation is a little bit tricky, but it works fine You need JBoss and a lot of time to install ejbca

Morgan Collett on Wednesday, August 16. 2006:

You could try ejbca:

http://ejbca.sourceforge.net/

Looks well documented and with commercial support available, although I haven't actually tried it out yet.

skippy on Sunday, September 3. 2006:

I second the vote for plain ol' openssl. I've got some modest documentation here. You might also be interested in my OpenVPN HOWTO.

bet-frogger on Monday, March 26. 2012:

7 years after this blog post, I was looking for a CA, too.

I found: xca - "x509 Certification Authority management tool based on QT4 "

http://xca.sourceforge.net/ http://packages.debian.org/search?keywords=xca

Add Comment

Name

Homepage

Comment

In reply to

Phone*

What is eight minus five?

Markdown format allowed

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.

Standard emoticons like :-) and ;-) are converted to images.

E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

Ich bin mit der Speicherung meiner Daten einverstanden. Die Datenschutzerklärung habe ich zur Kenntnis genommen und bin einverstanden.

Form options

Remember Information?

Rudi about Ich hab doch nur gefragt

Wed, 03.02.2021 15:48

Herzliche Glückwünsche!

Steffi about Vom Umzug mit Katzen

Wed, 03.02.2021 13:04

Super Artikel, der zeigt, wie sensibel Katzen doch sind.

Norbert about How to amd64 an i386 Debian installation with multiarch

Thu, 14.01.2021 20:41

Albeit I upgraded in the middle of 2015 with the help of this blog, I just wanna thank You for giving the helpful [...]