|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Victor Wagner 2:5020/400 13 Mar 2007 00:06:10
To : Konstantin Tereschenko
Subject : Re: Фоpмиpование паp ключей и сеpтификатов для _почты_
--------------------------------------------------------------------------------
Konstantin Tereschenko
<Konstantin.Tereschenko@p34.f5.n5061.z2.fidonet.org> wrote:
KT> Hi *All*!
KT> Subj. В pуководстве по RHEL подpобно pассказано о создании
KT> сеpтификата для Апача и ни слова о том как создать такой
Вообще говоря, человек обычно сам себе сертификат не делает.
Что такое сертификат?
Это такой электронный документ, в котором содержится открытый ключ
и информация о том, какому именно пользователю (или серверу) этот ключ
принадлежит. Этот документ подписан электронной подписью некоего
доверенного удостоверяющего центра (certification authority), который
своей подписью удостоверяет, что данный ключ принадлежит именно тому,
кому написано в сертификате.
В случае apache на доверенность подписи часто плюют, поскольку считают,
что главная задача - сделать чтобы соединение было зашифрованным, а
всякие там проверки подлинности - фигня. Это не совсем правильно, так
как теоретически злоумышленник может представиться сервером, перехватив
соединение на одном из промежуточных рутеров, или подменив DNS.
Поэтому лучше даже в случае apache завести свой собственный УЦ, и
распространить сертификат этого УЦ (содержащий открытый ключ от того
секретного ключа, на котором подписываются сертификаты) по всем
клиентам, чтобы они установили его в соответствующее хранилище в
браузерах. Тогда браузер будет проверять, что имя хоста на которое он
делает https запрос, совпадает с именем, указанным в поле CN
сертификата, и если это не так (сервер подменили) ругаться,
предупреждать пользователя, чтобы тот пароль туда не вводил.
В случае электронной почты возможностей подмены куда больше, чем в
случае TLS, поэтому доверенность УЦ приобретает куда большее значение.
В принципе можно организовать надежную сеть защищенной электронной почты
в формате S/MIME с использованием самоподписанных сертификатов, но лучше
не надо. Если нет необходимости использовть централизованный доверенный
УЦ, то лучше использовть PGP/GPG, который рассчитан на
децентрализованную ключевую инфраструктуру.
Если же использовать S/MIME, то надо использовать общий удостоверяющий
центр для всех абонентов. Его вполне можно организовать самому, но можно
пользоваться и каким-то из общеизвестных коммерческих УЦ, сертификаты
которых входят в комплект поставки дистрибутива.
В любом случае, пользователь, создавая себе ключевую пару, создает не
сертификат, а заявку на получение сертификата (certificate signing
request, CSR), которую отправляет в УЦ, и получает оттуда сертификат.
Для сертификата защиты электронной почты самым важным полем в distinguished
name сертификата является поле emailAddress. А в поле Common Name (CN)
где у сертификата https-сервера находится DNS-имя, у сертификата защиты
электронной почты должно быть имя пользователя.
OpenSSL версии 0.9.8 позволяет создавать сертификаты и заявки с русскими
значениями в полях DN. Только для этого нужно установить в
неумолчательные значения несколько переменных конфигурации.
Ещё крайне рекомендуется при формировании заявки или при выработке из
неё сертификата включать в него расширения X509v3 keyUsage и
extendedKeyUsage.
В общем, вдумчивое чтение мануалов на команды openssl
req, x509, ca и smime должно помочь.
KT> для почты. И пока не понятно, почему команда make user.key
KT> создает один файл, в то вpемя как их должно быть два, как
Вообще-то сертификаты и секретные ключи бывают в формате PEM
(Privacy Enhanced Mail). PEM-объекты имеют заголовок
----BEGIN тип-объекта-----
и последнюю строку
----END тип-объекта-----
Поэтому можно спокойно засунуть сертификат и секретный ключ в один и тот
же файл. Файл будет иметь вид
-----BEGIN CERTIFICATE-----
base64-encoded сертификат
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
base64-encoded контейнер с секретным ключом
-----END PRIVATE KEY-----
и apache из такого файла замечательно прочитает и ключ, и сертификат.
--
-- Хочу стать богом!
-- Замечательно! Бери рацию, и дуй на другой конец полигона. У нас
посредников не хватает
- с одной ролевой игры
--- ifmail v.2.15dev5.3
* Origin: Free Net of Leninsky,45 (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Фоpмиpование паp ключей и сеpтификатов для _почты_ 
