DigiLoog

試行錯誤月間という事で認証局の構成変更とOpenCA構築を試しているのだが、
libpkiは更新が活発だけどocspdが昨年でストップしており、
OpenSSLのライブラリ依存の都合でビルドを通すのも大変な事が分かった。

RHEL9でテストを行っているが、他のディストリビューションも調査中。
OpenCAの利用は諦めるか構成修正で乗り切れるかの選択をする必要が出てくる。
他のアプリケーションもググってみたが、
自宅鯖でOCSPサーバを構築するニーズが無いのかアプリが皆無だった。
アプリを自作するのも難しそうなので、組み合わせでなんとか解決したい。

自宅鯖の台数が多くなると証明書をサーバ毎に用意するのも面倒なので、
集中管理出来る様に多段認証局を立てている。
運用開始してから数年経っているのだが、
より本格的な物を使う為に構成変更をしてみたくなってきたので情報収集をする事に。

OCSPを実装出来ないか試行錯誤をしているが事例が少なすぎて一筋縄にいかない。
OpenSSLでもOCSP Responderは構築できるのだが、マルチRootCAに対応していない。
そうなると、OpenCAを使う事になるがこちらは公式ドキュメントすら殆ど無いので、
構築には試行錯誤する必要がある。
誰も手を出していないからこそやりがいもあるので、時間をかけて実装テストをする予定。
構築に成功したらwikiにでも纏めようと思う。

仮想サーバ基盤を最近強化したので、VyOSとは別の仮想ルータを試そうとググっていた所、
ホワイトボックススイッチに導入するSONiCというネットワークOSを見つけた。
名前の通り本来はL3スイッチなどにインストールする代物なのだが、
KVMゲストにもインストール出来るらしいので弄ってみる事にした。

• sonic-net/sonic-buildimage

ビルド済の仮想アプライアンス版もあるが、通常はCPUに合わせてビルドするらしい。
ソースビルドしてインストールイメージを作るのはVyOSとも同じなので、
同様のビルド環境を使ってイメージを作り出せないかテストから着手中。

ホワイトボックススイッチと言うとCumulus Linuxが良く出てくるが、
SONiCもそれなりに使っている所は多いみたいなので、
ドキュメントとコミュニティ情報を元に弄ってみようと思う。