[セキュリティ] 良いSSL鍵管理ツールありませんか？
06/29/2004 18:08 (投稿者：たかの)

Becky!が、ようやくSSL/TLSに対応したとのことで、さっそく入れてみた。 今まではstunnelでローカルループバックを形成していたので一歩前進という感じ。 ところが、SSL鍵の検証でポロポロと引っかかってしまった。

これはもちろん、鯖鍵をmake-dummy-certなんぞで自己署名した手抜き鍵をバンバン使っているせい。 いちおうBecky!側では「SSLで証明書を検証しない」とチェックを入れることで回避できる。 しかし、これはでstunnelで運用していた頃と変わらない。 せっかくここまで自家発電できるなら、鍵の発行もちゃんとしたほうがよいよなぁ、などと思い始めてしまった。 opensslコマンドをゴソゴソ叩いて署名すれば、可能なのは分かっているんだけど、そのたびに「どうやるんだっけ？」とマニュアル紐解いて、今までのroot鍵のありかをゴソゴソと探すのは何ともマヌケ。 どうせなら良い鍵管理ツールが無いものかな、と思ってしまった。 かつてpyCAなんてものがあったのだけど、今確認してみたら、もう無くなっちゃてるみたい。 というわけで、なにか良いモノあったら、どなたか教えてください。

メールでコメント

• pyCAについて
  09/10/2004 23:25 (投稿者：たかの)
  

  googleのキャッシュを見ると、なんかまだ生きているみたい。でも、ウチから見るとダメなんですよね。 日本からのDNS解決をTCPレベルで拒否しているのかな。 ↓見れますか？ http://www.pyca.de/

  
  
• Re: pyCAについて
  10/08/2004 19:57 (投稿者：もかぴー)
  

  見られる…みたいですが？ 参考までにADSLなどではないですが。 pyca-20031118.tar.gzのdownloadも問題なかったけど使うウチでは予定はないです。 ] googleのキャッシュを見ると、なんかまだ生きているみたい。でも、ウチから見るとダメなんですよね。 ] 日本からのDNS解決をTCPレベルで拒否しているのかな。 ] ↓見れますか？ ] http://www.pyca.de/

  
  
• Re: pyCAについて
  10/14/2004 12:02 (投稿者：たかの)
  

  ] 見られる…みたいですが？ 分かった。ウチでは件のベリサインのSiteFinder対策でroot-delegation-onlyを入れていたせいのようです。 root-delegation-only exclude { "to"; "de"; }; して無事見られるようになりました。 というか、NSくらいちゃんと置けや(ﾟДﾟ)ゴルア！

  
  
• OpenVPN同梱のeasy-rsa
  01/11/2010 16:27 (投稿者：たかの)
  

  紆余曲折あって、今はOpenVPN同梱のeasy-rsaを使っています。 inherit-interコマンドで委譲もばっちりなんですが、シェルスクリプトベースで全てコマンドライン操作なので、まだまだ工夫の余地があります。 とりあえず需要そのものがほとんど無いので、そのまま使っていますが… 紹介できるほど需要が増えてきたと感じたら記事にするかもしれません。