OwnCA — это веб-панель удостоверяющего центра, которую вы разворачиваете у себя. Все как в EasyRSA, но в виде веб-приложения. Она выпускает и отзывает сертификаты X.509, подписывает их на ГОСТ Р 34.10-2012, RSA, ECDSA и Ed25519, формирует списки отзыва (CRL) и выгружает PFX в обычной схеме PBES2/AES/SHA, в формате, разработанном ТК-26 (RFC 9337/9548) — том самом, который реально понимают КриптоПро и другие российские криптопровайдеры.
Выберите УЦ, при желании — профиль, заполните субъектное имя (DN) и SAN. Загрузите свой CSR или позвольте панели сгенерировать ключ. Для ГОСТ-ключей выбор набора параметров доступен прямо в форме.
Обычный .p12 (PBES2 / AES / SHA-256) — для всего остального, и .gost.p12, собранный штатным openssl pkcs12 -export на доработанном gost-engine — это схема RFC 9337 + 9548, которую читает КриптоПро.
server, client, server_client, vpn, user, user_login, smartcard_logon, smime_sign, code_signing, timestamping — у каждого свои наборы KU/EKU и привязки OID-полей, которые можно отредактировать или скопировать.
Создавайте корневые и промежуточные УЦ на любом из поддерживаемых семейств ключей. У каждого УЦ свои точки распространения — CRL, AIA, OCSP, SIA, freshestCRL, issuerAltName — они встраиваются в каждый подписанный им сертификат.
Входящий в комплект nginx обслуживает и GOST2012-KUZNYECHIK-KUZNYECHIKOMAC, и обычные наборы RSA/ECDHE на одном сокете — поэтому работают и браузеры с поддержкой ГОСТ, и без неё.
Материалы УЦ, выпущенные сертификаты и CRL — это обычные файлы в каталоге OWNCA_STORAGE_DIR/. Postgres хранит лишь индекс метаданных. Каталог хранения можно упаковать в tar и перенести УЦ на другой сервер.
Ниже — настоящие шаблоны панели, заполненные вручную подобранными демонстрационными данными. Боковое меню, панели, таблицы, переключатель языка — всё работает. Формы не отправляются (это статичная копия), но каждая ссылка куда-нибудь ведёт.
Экран входа на тёмно-синем фоне демо-среды. Нажмите «Войти», чтобы попасть в панель.
Войти →Ключевые показатели, ваши УЦ, таблица истекающих, лента недавно выпущенных.
Открыть сводку →Поднимайте корневые и промежуточные УЦ на всех четырёх семействах ключей.
Открыть УЦ →Список с фильтрами по столбцам, значками статуса и постраничной навигацией.
Открыть список →Выберите УЦ → профиль → заполните субъектное имя (DN) и SAN → выпустите или импортируйте CSR.
Открыть мастер →Реестр KU / EKU, привязки OID-полей и кнопка «Копировать» для клонирования.
Открыть профили →X.509: субъект, издатель, расширения, исходный PEM, скачивание — включая .gost.p12.
Переключатели режимов выпуска и таблица переменных окружения, которые панель читает при запуске.
Открыть конфигурацию →Версия openssl, состояние gost-engine, ручное обновление метаданных.
Открыть обслуживание →dev_env монтирует исходный код в контейнер панели с автоматической перезагрузкой — удобно для доработки. demo поставляется с готовыми образами; его можно перенести на изолированный от сети сервер одним архивом.