| 1 |
Anton Ananich пишет: |
| 2 |
> Здравствуйте все! С наступившим новым годом! :-) |
| 3 |
> |
| 4 |
> Я пытаюсь сделать Certificate Authority (CA) с помощью openssl. И тут у |
| 5 |
> меня возникло два вопроса. |
| 6 |
> |
| 7 |
> Первый вопрос в следующем: как правильно настроить openssl чтобы все |
| 8 |
> программы типа sshd, openvpn, apache (https), и т.п. использовали |
| 9 |
> сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от |
| 10 |
> предположения, что должно быть единое хранилище. Однако это лишь мое |
| 11 |
> предположение, основанное на здравом смысле. Возможно ли использовать |
| 12 |
> единое хранилище для сертификатов? |
| 13 |
> |
| 14 |
по крайней мере единое хранилище для корневых сертификатов обычно тут: /etc/ssl/certs. |
| 15 |
дальше запускается update-ca-certificates, который формирует кэш /etc/ssl/certs/ca-certificates.crt |
| 16 |
). приватные части там не храняться. их надо отдельно где нить хранить в недоступном месте. |
| 17 |
что бы программы использовали один сертификат - надо одинаковый прописывать в настройках ). |
| 18 |
|
| 19 |
> А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим |
| 20 |
> вопросом :) |
| 21 |
> Certificate authority как единое хранилище сертификатов должен содержать |
| 22 |
> certificate revocation list (CRL). Как нужно настроить openssl, чтобы |
| 23 |
> выдаваемые сертификаты содержали информацию о расположении CRL и как |
| 24 |
> сделать так, чтобы клиентские приложения периодически проверяли |
| 25 |
> сертификаты, которые они используют через CRL? |
| 26 |
> |
| 27 |
хм. мне бы тоже хотелось услышать ответ на этот вопрос, но все же кажется все сертификаты ищут |
| 28 |
конревой как раз в /etc/ssl/certs/ca-certificates.crt, что бы подтвердить себя, или если это умная |
| 29 |
программа типа браузера, то у нее есть еще свои публичные сертификаты от VeriSign например, с |
| 30 |
которыми она и сверяет. Если клиент не заюзает у себя твой корневой сертфикат, то CRL побоку. Но я |
| 31 |
буду рад, если твоя идея имеет жизнь :) я бы тоже прикрутил у себя. ) |
| 32 |
|
| 33 |
> С уважением, |
| 34 |
> Антон Ананич |
| 35 |
> http://ananich.wordpress.com |
Archives