1 |
Anton Ananich пишет: |
2 |
> Здравствуйте все! С наступившим новым годом! :-) |
3 |
> |
4 |
> Я пытаюсь сделать Certificate Authority (CA) с помощью openssl. И тут у |
5 |
> меня возникло два вопроса. |
6 |
> |
7 |
> Первый вопрос в следующем: как правильно настроить openssl чтобы все |
8 |
> программы типа sshd, openvpn, apache (https), и т.п. использовали |
9 |
> сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от |
10 |
> предположения, что должно быть единое хранилище. Однако это лишь мое |
11 |
> предположение, основанное на здравом смысле. Возможно ли использовать |
12 |
> единое хранилище для сертификатов? |
13 |
> |
14 |
по крайней мере единое хранилище для корневых сертификатов обычно тут: /etc/ssl/certs. |
15 |
дальше запускается update-ca-certificates, который формирует кэш /etc/ssl/certs/ca-certificates.crt |
16 |
). приватные части там не храняться. их надо отдельно где нить хранить в недоступном месте. |
17 |
что бы программы использовали один сертификат - надо одинаковый прописывать в настройках ). |
18 |
|
19 |
> А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим |
20 |
> вопросом :) |
21 |
> Certificate authority как единое хранилище сертификатов должен содержать |
22 |
> certificate revocation list (CRL). Как нужно настроить openssl, чтобы |
23 |
> выдаваемые сертификаты содержали информацию о расположении CRL и как |
24 |
> сделать так, чтобы клиентские приложения периодически проверяли |
25 |
> сертификаты, которые они используют через CRL? |
26 |
> |
27 |
хм. мне бы тоже хотелось услышать ответ на этот вопрос, но все же кажется все сертификаты ищут |
28 |
конревой как раз в /etc/ssl/certs/ca-certificates.crt, что бы подтвердить себя, или если это умная |
29 |
программа типа браузера, то у нее есть еще свои публичные сертификаты от VeriSign например, с |
30 |
которыми она и сверяет. Если клиент не заюзает у себя твой корневой сертфикат, то CRL побоку. Но я |
31 |
буду рад, если твоя идея имеет жизнь :) я бы тоже прикрутил у себя. ) |
32 |
|
33 |
> С уважением, |
34 |
> Антон Ананич |
35 |
> http://ananich.wordpress.com |