Mein Vorschlag zur einfacheren, effizienteren Arbeit mit PKI

Nachdem ich das Tutorial für eine Simple, Advanced und Expert PKI sehr wertschätze und dort auch immer wieder neue Anregungen finde, habe ich bereits vor geraumer Zeit begonnen, meine eigene CA nach dem Vorbild der Expert PKI aufzubauen.

In meiner angestellten Tätigkeit betreut unser Unternehmen einen Kunden mit einer historisch gewachsenen PKI, die auch nicht aus diesem Unternehmen stammte, sondern von uns vom vorhergehenden Dienstleister übergeben wurde. Diese PKI wies im Laufe der Jahre einige Schwachstellen auf, die wir immer nach Entdecken überspielen konnten. Manchmal lernten wir auch einfach damit zu leben.

Diese PKI basiert ebenfalls auf OpenSSL. In dieser PKI existieren Shell-Skripte für die verschiedenen UseCases. Diese Skripte, beziehungsweise deren Auswurf auf dem Bildschirm sind sehr unübersichtlich. Dazu kommt, dass in manchen UseCases Passwörter mehrfach eingegeben werden müssen. Es ist nicht immer klar ersichtlich, welches Passwort benötigt wird, da lediglich die Serial Numbers angezeigt werden.

All dies führte dazu, dass die Administration - diejenigen also, die damit täglich zu tun haben - anfragte, ob man dieses Setup nicht dahingehend ändern könnte, dass zum Betrieb weniger Expertenwissen notwendig wäre.

Ich überlegte mir dazu folgendes: Wenn man die Komplexität der Interaktion mit OpenSSL vor dem Anwender verbergen könnte und gleichzeitig die wichtigen Informationen visuell strukturiert und aufbereitet darbieten könnte, wäre bereits viel gewonnnen. Wir überlegten zwar auch, die PKI evtl mit verfügbaren klicki-bunti-Angeboten umzusetzen, jedoch würde sich dies schwierig gestalten: Das Layout der PKI entspricht der Advanced PKI aus dem Tutorial.

Nach reiflicher Überlegung kam die Idee, expect und dialog zu kombinieren: Dialog ist ein Paket, mit dem sich Dialoge/Formulare aus Skripten heraus formulieren lassen und expect kann benutzt werden, Terminal-Anwendungen eine interaktive Shell vorzugaukeln. Man kann also mittels eines dialog-Formulars alle wichtigen Daten einsammeln und diese dann per expect an die OpenSSL-Anwendung verfüttern.

Es wurde auch überlegt, über die OpenSSL_Bibliothek, bzw. ihre Language Bindings entsprechende Programme zu schreiben (Python, ...?), jedoch hat die Lösung mittels dialog einen entscheidenen Vorteil (Meinung des Autors): Man kann detektieren, ob das Skript in einem tty oder einem pty unter X-Windows läuft und im zweiten Fall einfach statt dialog xdialog benutzen - damit erhält man statt der curses-Oberfläche (dialog) echte graphische Dialoge und muss die Skripts nicht anpassen.

Ein weiteres Argument wäre der Verzicht auf die Installation des entsprechenden Sprachinterpreters oder der benötigten Laufzeitumgebung - leder kann man aber dieses Argument nicht aufrechterhalten - expect benötigt TCL...

Artikel, die hierher verlinken