Zdravim kolegove, chtel bych se zeptat, jestli vite doporucit jak na realizaci OCSP serveru na debianu
(treba primo nejaky balik nebo backport neceho, pres OpenSSL jako takove by to nemel byt problem, ale pokud je neco primo zabalikovany a odzkouseny, tak by to asi bylo lepsi.) Idealne taky aby podepisovaci klic mohl byt na nejakem HSM modulu (crypto karta, treba od SUNu SCA6000).
Pokud mate nekdo prakticke zkusenosti dejte vedet, ale kazdy napad vitan.
OCSP server mi běžel přímo z OpenSSL. Jako balík jsem ho nikde neviděl, ale obávám se, že něco takového navíc s podporou HSM asi neseženeš. Co se týče OpenSSL, tak ze smartcard přes pkcs11 api dokázal používat klíče. Nevím jak s HSM, žádné jsem v ruce ještě neměl, ale pokud k tomu např. tu pkcs11 knihovnu dávají taky, mělo by to fungovat.
Jo, to sem se dival, ze neni problem ho pouzit z OpenSSL a taktez mam otestovany, ze podepisovani pres pkcs11 z openssl funguje. Spis me zajimalo, zda existuje neco "predpripraveneho", v ubuntu jsem videl, ze existuje balik openca-ocspd, pak v debianu je neco jako newpki-server balik, ale jenom pro m68k :( Tak jestli neni neco podobneho ukryty v nejakem jinem baliku. A pak mi slo o to, zda ma nekdo zkusenost primo s nejakym druhem akceleracni karty v debianu.