Установка и настройка центра сертификации EJBCA в Debian 6 с поддержкой LunaSA HSM

[amarao]

Зачем оно, если есть openssl?

[Maximus43]

OpenSSL для корпоративного использования плохо подходит, это прекрасный инструмент, но очень низкого уровня.

[amarao]

Весь внимание про особенности корпоративной организации PKI.

Насколько я знаю, openssl полностью поддерживает PKI, включая собственные политики и хаб-УЦ для кросс-доверительных отношений, так что дальше там вопрос только наличия интерфейса с галочками для секретуток разного калибра.

[Maximus43]

Корпоративная PKI подразумевает RA и механизм для получения сертификатов конечными пользователями (через автоэнроллмент, по почте, на смарт-карты или с портала). С RA работают офицеры по безопасности (по вашему «секретутки разного калибра»), им нужен красивый интерфейс.
Понятно, что в OpenSSL все можно реализовать, и GUI можно прикрутить. Но по трудоемкости такая работа будет соизмерима с написанием EJBCA.