1 |
Спасибо, Эдвард! |
2 |
|
3 |
Из этого письма мне стало многое понятно, в частности то, что |
4 |
терминами я оперировал несколько неумело. В частности под хранилищем я |
5 |
понимал CA (корневой сертификат + все выданные). |
6 |
|
7 |
Я думаю будет уместно переформулировать вопрос и задать его более четко. |
8 |
|
9 |
С благодарностью, |
10 |
Антон Ананич |
11 |
|
12 |
2009/1/4 Edward Hades <edward.hades@×××××.com> |
13 |
> |
14 |
> On Sunday 04 January 2009 02:30:38 Anton Ananich wrote: |
15 |
> > Первый вопрос в следующем: как правильно настроить openssl чтобы все |
16 |
> > программы типа sshd, openvpn, apache (https), и т.п. использовали |
17 |
> > сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от |
18 |
> > предположения, что должно быть единое хранилище. Однако это лишь мое |
19 |
> > предположение, основанное на здравом смысле. Возможно ли использовать |
20 |
> > единое хранилище для сертификатов? |
21 |
> |
22 |
> Во-первых, sshd не использует ssl. |
23 |
> |
24 |
> Во-вторых, не очень понятно что имеется ввиду под "хранилищем". На каждом |
25 |
> компьютере хранятся доверенные корневые сертификаты, то есть подразумевается, |
26 |
> что если программа получает от собеседника сертификат (например, браузер |
27 |
> получает сертификат удалённого веб-сервера, или веб-сервер получает клиентский |
28 |
> сертификат, или openvpn получает опять-таки клиентский сертификат), |
29 |
> подписанный каким либо из этих корневых сертификатов, то он признаёт его |
30 |
> подлинным (то есть собеседник действительно то, что написано в сертификате). |
31 |
> |
32 |
> Соответственно, при создании своей CA нужно разослать её корневой сертификат |
33 |
> по всем компьютерам, которые собираются этой CA доверять, и разместить в |
34 |
> нужном месте (в случае Gentoo /etc/ssl/certs и прогнать update-ca- |
35 |
> certificates). |
36 |
> |
37 |
> Также, каждый сервер и клиент, которые собираются удостоверять _свою_ личность |
38 |
> сертификатом, хранят у себя _свой_ сертификат (выданный центром сертификации) |
39 |
> и секретный ключ. Хранить чужие сертификаты им не нужно, так как они |
40 |
> передаются при ssl-handshake, а подлинность их удостоверяется подписью |
41 |
> доверенной CA. |
42 |
> |
43 |
> В самой CA хранится секретный ключ и сертификат CA, а также все выданные ею |
44 |
> сертификаты (исключительно для возможности их отозвать, а не с целью |
45 |
> централизованного хранения, доступа и удостоверения подлинности). |
46 |
> |
47 |
> Таким образом, централизованного хранилища _всех_ сертификатов с общим |
48 |
> доступом создавать не нужно (если я правильно понимаю вопрос). |
49 |
> |
50 |
> |
51 |
> > |
52 |
> > А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим |
53 |
> > вопросом :) |
54 |
> > Certificate authority как единое хранилище сертификатов должен содержать |
55 |
> > certificate revocation list (CRL). Как нужно настроить openssl, чтобы |
56 |
> > выдаваемые сертификаты содержали информацию о расположении CRL и как |
57 |
> > сделать так, чтобы клиентские приложения периодически проверяли |
58 |
> > сертификаты, которые они используют через CRL? |
59 |
> |
60 |
> Насколько я знаю, это делается с помощью расширения CRLDP (CRL Distribution |
61 |
> Point), но я не знаю как с ним работать, и насколько хорошо с ним работают |
62 |
> приложения. Буду рад, если кто-то просветит нас в этом вопросе ;) |
63 |
> |
64 |
> -- |
65 |
> Edward "Hades" Toroshchin, |
66 |
> Aides on irc.freenode.org |
67 |
> |
68 |
> |