Das Management eigener SSL/TLS/X.509-Zertifikate und der Betrieb einer eigenen Zertifikatsstelle (Certification Authority, CA) ist mit dem openssl-Befehl zwar möglich, aber recht umständlich. Er setzt die Kenntnis einer Vielzahl von Kommandozeilenschaltern voraus, um beispielsweise ein Root-Zertifikat und anschließend das öffentliche Zertifikat der CA zu erzeugen. Dazu kommt unter Umständen noch die Verwaltung einer Certificate Revocation List, in der der CA-Betreiber nicht mehr gültige Zertifikate auflistet.
Es gibt diverse Möglichkeiten, mit Open-Source-Tools Zertifikate zu verwalten, etwa die PKI-Software Dogtag . Einfacher geht es mit einem grafischen Programm wie TinyCA oder einem neuen Tool namens caman, das ähnlichen Komfort auf der Kommandozeile bietet. So führt nach der Installation respektive dem Herunterladen des Code ein Aufruf von "./caman init" Schritt für Schritt durch die Einrichtung der Certifice Authority. Auch die Erzeugung eines Intermediate Certificate ist hier möglich. Dass das Root-Zertifikat gut gesichert und am besten auf einem nicht übers Netzwerk erreichbaren Host gespeichert sein muss, versteht sich von selbst. In zwei Konfigurationsdateien sind die üblichen administrativen Angaben für die Zertifikate abgelegt, etwa countryName, organizationName und so weiter.
Einen neuen Host, der ein Zertifikat erhalten soll, legt ein Aufruf von "./caman new" an. Das Zertifikat selbst wird mit Hilfe von "./caman sign" erzeugt. Widerrufen kann es der CA-Admin mit "./caman revoke". Die Widerrufsliste muss der Administrator anschließend über den Webserver neu publizieren.
Der Code und eine ausführliche Anleitung sind im Github-Repository von caman zu finden.