Skip to content

Looking for useable CA software

To support my experiments with OpenVPN, I have been trying to evaluate different CA software packages in Debian. With devastating results.

I tried

pyca

Pros

  • command line

Cons

  • Unmaintained upstream
  • Quite underdocumented - the maintainer doesn't think so and closed #355177.
  • Didn't work when I tried it

tinyca

pros

  • seems easily useable

cons

  • has a GUI and is thus not suitable for very old boxes as CA host
  • version in unstable gets in endless loop after CA certification
  • version in testing crashes without error message if default values for CA are changed
  • version in testing succeeds in creating CA and then displays a GUI that doesn't accept any mouse clicks

easy-rsa

pros

  • easily useable
  • Only CA tried that actually worked in creating certificates for first OpenVPN installation

cons

  • not properly packages - only in examples directory of OpenVPN package
  • creates CA without password!

openca

  • not packaged for Debian (see #141748)

openxpki

  • split from openca in October 2005
  • Has not yet released any code

conclusion

All software sucks. Does Debian have CA software that is actually useable?

Trackbacks

Zugschlusbeobachtungen on : EasyRSA on Debian for an OpenVPN CA

Show preview
After asking for useable CA Software, I have finally settled on using EasyRSA. This is what I did to come across\nthe packaging shortcomings of EasyRSA in Debian. Storing your CA Be sure that your CA is stored in a secure place. Don’t store i

Comments

Display comments as Linear | Threaded

ixs on :

sigh Dein Blogartikel trifft einen ganz wunden Punkt: Es gibt nur grottige CA-Software im OpenSource-Bereich.

Entweder sind sie einfach nur Grottig, oder Featurelos, oder viel zu kompliziert oder absolut unbedienbar.

PyCA setzen wir bei Bawue.Net momentan für unsere interne CA ein. Es läuft zwar gut, hat aber auch einen Haufen Schwächen. Im Endeffekt benutze ich doch wieder die Kommandozeilen Utilities von OpenSSL mit der entsprechenden Configurationsdatei von PyCA. Dafür ist das WebInterface brauchbar und die CA kann ordentlich CRLs erzeugen.

Easy-RSA von OpenVPN ist ja nicht wirklich mehr als ein aufgebohrtes Shell-Script. Es ist ausreichend für eine kleine CA für die x509 Authentifizierung, aber sobald die CA wirklich verschiedene Cert-Typen (Server, Client, Auth, CodeSigning) trennen soll, wird es kompliziert und hässlich.

OpenCA ist noch das Stück Software, dass man eigentlich verwenden will. Es kann alles, was eine richtige CA braucht, kann CRLs und OCSP als Real-Time Alternative zu den CRLs, was insbesondere im Auth-Bereich wichtig ist. Aber die Software ist so komplex und unangenehm zu installieren, dass man sie wieder nicht nutzen will. Gerade im Semi-Professionellen Bereich möchte man gerne alles auf einem Gerät haben, was mit OpenCA nicht gerade erleichtert wird.

So langsam setze ich meine Hoffnungen ja auf den Netscape Certification Server. Der Code wurde von RedHat auch übernommen, als sie die Netscape Reste von AOL gekauft haben. Evtl. wird es da ja in der naechsten Zeit auch mal eine OpenSource Release geben.

Wouter Verhelst on :

OpenSSL itself also comes with a CA script. It is command-line based, pretty easy to use, and does allow you to create a CA PEM file with password. Like the rest of OpenSSL, it Just Works(tm).

On Debian, it's installed as /usr/lib/ssl/misc/CA.sh. Run it with -help to see the possible command-line options; you'll find that they're pretty self-explanatory.

manatorg on :

you might have a look at this: http://www.hohnstaedt.de/xca/xca.html

seems to work, although i do not know if its still alive.

cheers.

Daniel on :

I installed it, the installation is a little bit tricky, but it works fine ;-) You need JBoss and a lot of time to install ejbca :-)

Morgan Collett on :

You could try ejbca:

http://ejbca.sourceforge.net/

Looks well documented and with commercial support available, although I haven't actually tried it out yet.

skippy on :

I second the vote for plain ol' openssl. I've got some modest documentation here. You might also be interested in my OpenVPN HOWTO.

bet-frogger on :

7 years after this blog post, I was looking for a CA, too.

I found: xca - "x509 Certification Authority management tool based on QT4 "

http://xca.sourceforge.net/ http://packages.debian.org/search?keywords=xca

Add Comment

Markdown format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options