Estoy tratando de configurar una solución de firma digital que funcione con una PKI interna.
Hemos considerado los Servicios de certificados de Microsoft, pero no queremos descartar ninguna otra opción para configurar una CA.
¿Sabe qué otras opciones de código abierto tenemos?
Servicios de certificados de Microsoft es una CA. Hace su trabajo razonablemente bien (*) siempre que cumpla con "la manera de Microsoft", lo que significa Active Directory en todo, con dominios, bosques y federación. Esto generalmente implica varios servidores dedicados.
En cuanto a las soluciones de código abierto, escuché cosas buenas sobre EJBCA . Algunas personas intentan hacer PKI "a mano" con OpenSSL (la herramienta de línea de comandos), pero esto significa que básicamente escribirá su PKI propio (95% de PKI es procedimientos , no software) y esto requiere una comprensión profunda de los arcanes de X.509 . Este no es un buen plan para los incautos.
(*) Excepto que no se escala bien en absoluto; la CA se vuelve lenta después de 50k certificados emitidos, inutilizables a 300k.
Lea otras preguntas en las etiquetas public-key-infrastructure certificates certificate-authority