OpenCA & OpenSSL
OpenCA & OpenSSL - Merkmale
Die OpenCA (Certificate Authority) ist ein mächtiges modulares System, mit dem sich komplette PKI-Strukturen aufbauen lassen. Als technische Komponenten sind hier der Apache Webserver, Perl und OpenSSL enthalten.
Verschiedene Module wie Public Interface, Registration Authority Interface, Certification Authority Interface und LDAP-Interface erlauben die Darstellung eines an Standards orientierten Workflows, mit dem sich Zertifikate erstellen Smartcards ausrollen lassen. Den Kern der OpenCA bildet die Engine, welche die einzelnen genannten Zustände ineinander überführt. Auf diese Art und Weise läßt sich der Workflow den jeweiligen Bedürfnissen der zertifikatsausgebenden Stelle anpassen. Teile dieses Ablaufs wie die Ausgabe von Smartcards lassen sich zudem mit einem Batchprozessor automatisieren. Als zusätzliche Sicherheitsoption bietet die OpenCA Schnittstellen zu einigen Hardwaresicherheitsmodulen (HSM).
OpenSSL mag demgegenüber als das kleinste Produkt erscheinen und ist doch die allgegenwärtigste Komponente, da sich mit ihr schnelle, alternative Lösungen umsetzen lassen. OpenSSL ist die Bibliothek für SSL (Secure Socket Layer) und TLS (Transport Layer Security), sie wird von vielen anderen Produkten, wie auch der OpenCA, im Backend genutzt. Mit dem Engine-Konzept von OpenSSL lassen sich für alle kryptografischen Prozesse auch Smartcards und Hardwaresicherheitsmodule einbinden.
Rolle der LSE
Die LSE hat mit der OpenCA und OpenSSL bereits zahlreiche heterogene PKI-Strukturen aufgebaut. Häufig galt es dabei, eine Brücke zwischen der Microsoft-Welt und Linux/Opensource zu schlagen. So haben wir schon des Öfteren Sub-CAs in anderen Betriebsystemen aufgebaut, da dies unter Berücksichtigung des Einsatzzwecks der Zertifikate die passendere Lösung darstellte. Der Einsatz von OpenSSL hingegen ist unter anderem prädestiniert für einfach zu handhabende Root-CAs, bei welchen der Wurzelschlüssel mit einer Boot-CD verschlüsselt, offline in einen Tresor gelegt werden kann.
