1 |
On Sunday 04 January 2009 02:30:38 Anton Ananich wrote: |
2 |
> Первый вопрос в следующем: как правильно настроить openssl чтобы все |
3 |
> программы типа sshd, openvpn, apache (https), и т.п. использовали |
4 |
> сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от |
5 |
> предположения, что должно быть единое хранилище. Однако это лишь мое |
6 |
> предположение, основанное на здравом смысле. Возможно ли использовать |
7 |
> единое хранилище для сертификатов? |
8 |
|
9 |
Во-первых, sshd не использует ssl. |
10 |
|
11 |
Во-вторых, не очень понятно что имеется ввиду под "хранилищем". На каждом |
12 |
компьютере хранятся доверенные корневые сертификаты, то есть подразумевается, |
13 |
что если программа получает от собеседника сертификат (например, браузер |
14 |
получает сертификат удалённого веб-сервера, или веб-сервер получает клиентский |
15 |
сертификат, или openvpn получает опять-таки клиентский сертификат), |
16 |
подписанный каким либо из этих корневых сертификатов, то он признаёт его |
17 |
подлинным (то есть собеседник действительно то, что написано в сертификате). |
18 |
|
19 |
Соответственно, при создании своей CA нужно разослать её корневой сертификат |
20 |
по всем компьютерам, которые собираются этой CA доверять, и разместить в |
21 |
нужном месте (в случае Gentoo /etc/ssl/certs и прогнать update-ca- |
22 |
certificates). |
23 |
|
24 |
Также, каждый сервер и клиент, которые собираются удостоверять _свою_ личность |
25 |
сертификатом, хранят у себя _свой_ сертификат (выданный центром сертификации) |
26 |
и секретный ключ. Хранить чужие сертификаты им не нужно, так как они |
27 |
передаются при ssl-handshake, а подлинность их удостоверяется подписью |
28 |
доверенной CA. |
29 |
|
30 |
В самой CA хранится секретный ключ и сертификат CA, а также все выданные ею |
31 |
сертификаты (исключительно для возможности их отозвать, а не с целью |
32 |
централизованного хранения, доступа и удостоверения подлинности). |
33 |
|
34 |
Таким образом, централизованного хранилища _всех_ сертификатов с общим |
35 |
доступом создавать не нужно (если я правильно понимаю вопрос). |
36 |
|
37 |
|
38 |
> |
39 |
> А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим |
40 |
> вопросом :) |
41 |
> Certificate authority как единое хранилище сертификатов должен содержать |
42 |
> certificate revocation list (CRL). Как нужно настроить openssl, чтобы |
43 |
> выдаваемые сертификаты содержали информацию о расположении CRL и как |
44 |
> сделать так, чтобы клиентские приложения периодически проверяли |
45 |
> сертификаты, которые они используют через CRL? |
46 |
|
47 |
Насколько я знаю, это делается с помощью расширения CRLDP (CRL Distribution |
48 |
Point), но я не знаю как с ним работать, и насколько хорошо с ним работают |
49 |
приложения. Буду рад, если кто-то просветит нас в этом вопросе ;) |
50 |
|
51 |
-- |
52 |
Edward "Hades" Toroshchin, |
53 |
Aides on irc.freenode.org |