|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Victor Wagner 2:5020/400 14 Mar 2007 17:19:23
To : Slawa Olhovchenkov
Subject : Re: Фоpмиpование паp ключей и сеpтификатов для _почты_
--------------------------------------------------------------------------------
Slawa Olhovchenkov
<Slawa.Olhovchenkov@f500.n5030.z2.fidonet.org> wrote:
SO> Hello Victor!
SO> 12 Mar 07, Victor Wagner writes to Konstantin Tereschenko: VW>> Поэтому
SO> лучше даже в случае apache завести свой
VW>> собственный УЦ, и распространить сертификат этого УЦ
VW>> (содержащий открытый ключ от того секретного ключа, на
VW>> котором подписываются сертификаты) по всем клиентам,
VW>> чтобы они установили его в соответствующее хранилище в
VW>> браузерах.
SO> А существуют ли опенсорсные халявные реализации УЦ под
SO> юнихи? Разумеется с поддержкой стандартного механизма
SO> проверки отзыва сертификата. Что-то типа
SO> http://ca.home-office.com:80/certsrv/mscep/mscep.dll Hу и
SO> еще интересует поддержка ocsp. Hу и CRL distribution
SO> point.
openssl (которая утилита) умеет по-моему всё вышеперечисленное.
Hу может быть 0.9.8 ещё что-то не умеет, если не умеет - посмотри в
снапшоте 0.9.9.
Естественно речь идет о криптографической и проткоольной части, а не от
том, какой именно путь в локальной файловой системе прописать в
опции -out прописать в команде openssl ca -gencrl, чтобы в результате
полученный CRL был виден именно по той url, которая в конфиге оного CA
прописана как значение extension crlDistributionPoint.
Есть, конечно, OpenXPKI (бывший OpenCA), на котором работают
национальные удостоверяющие центры некоторых европейских стран.
Там внутри в качестве cryptographic engine - тот же OpenSSL.
(в последнее время, они правда хотят сделать pluggable engines, но
по-моему до релиза ещё не довели).
Это монстер, который умеет всё, и работает с сотнями тысяч абонентов.
Hо настраивать его ты утрахаешься.
Поэтому, если у тебя абонентов меньше тысячи, рекомендую с ним не
связываться, а написать самопальную скриптовую обвязку вокруг утилиты
OpenSSL. Трудоемкость сравнимая будет.
Авторы более простых в обращении ca (которые тоже обвязки вокруг
OpenSSL) на ocsp не заморачиваются. Если без OCSP можно обойтись,
посмотри на pyCA http://www.pyca.de/
Возможно, вариантом будет сочетание pyCA и отдельного скриптика для
запуска openssl ocsp в режиме сервера над той же базой данных.
(правда, тогда тебе придется хранить на том же сервере по крайней мере
один секретный ключ - которым OCSP responses подписываются).
По мнению автора pyCA хранить на доступном извне сервере секретные ключи
- стремно. По мнению ФСБ-шников, которые у нас в стране
криптографические средства сертифицируют - тоже. Если ты соберешься
такое сертифицировать, от тебя потребуют компьютер в защищенном
исполнении и операционную систему, сертифицированную на класс защиты КБ2
(это, правда, скорее всего будет эхотаг - Атликс или МСВС)
Буржуи, которые используют OpenXPKI в качестве национальных УЦ, обычно
секретные ключи на диске тоже не хранят, а хранят их на смарткарте,
которая втыкается в аппаратный криптоакселератор.
Да, ещё. В apps/ocsp.c я носа не совал. И в crypto/ocsp/* - тоже.
Hи в 0.9.8, ни в 0.9.9. Так что с ГОСТ Р 34.10 OCSP в OpenSSL работать
не будет.
--
Программирование во сне и на ЯВУ. (I mean HLL)
--- ifmail v.2.15dev5.3
* Origin: Free Net of Leninsky,45 (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
