Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Victor Wagner                        2:5020/400     04 Mar 2002  00:25:12
 To : Aleksey Barabanov
 Subject : Re: OpenSSL
 -------------------------------------------------------------------------------- 
 
  Aleksey Barabanov <alekseybb@mtu-net.ru> wrote:
 
 >> знакомы, а так нет ;(  Hе обязательно. Достаточно отвалить
 >> $200 VeriSign-у за подписание ключа.  И даже это не
 >> обязательно. Поскольку Certification Authority типа того же
 >> VeriSign сами подписывают свои ключи, то ты можешь сгенерить
 >> себе сертификат CA и подписывать им какие угодно ключи. Если
 >> браузер откуда-нибудь узнает про существование такого CA
 >> (например, ты выложишь сертификат на web с content-type
 >> application/x-x509-ca-cert и сходишь туда этим браузером) то
 >> он будет совершенно спокойно доверять подписанным тобой
 >> (посредством ключа этого CA) ключам. 
 AB> Вах как интересно ! 
  
 AB> Т.е. если я по http://мой.корневой.домен/cgi-bin/x509.cgi
 AB> установлю откликалку с указанным вам контентом, то загрузив
 
 А cgi-то для этого зачем? Просто кладешь туда файлик my_cert.der
 и прописываешь в апачу в mime.types
 
 application/x-x509-ca-cert  .der
 
 (Заметим что openssl по умолчанию генерирует сертификаты в формате
 .pem. Сертификат нужно преобразовать в формат .der посредстовм
 openssl-ной команды x509. Иначе Netscape его поймет, а Explorer-нет
 
 Hасколько я понимаю, pem это всего лишь base64-encoded der
 )
 
 AB> оттуда разок этот сертификат, я могу им в дальнейшем
 AB> подписывать свое дерево сертификатов, и тот броузер,
 AB> который туда сходил не станет ругаться что дескать
 AB> сертификат подписан кем ни попадя ? Это так ? 
  
 Совершенно верно. Поскольку сертификат будет подписан кем-то, про кого 
 юзер явно сказал, что он этой подписи доверяет. При скачивании
 сертификата браузер будет задавать на эту тему некоторые вопросы.
 
 Более того, если ты скачал сертификат CA посредством Exploer, то
 Outlook тоже будет доверять подписи этого CA при соединении pop3 over
 ssl или imap over ssl.
 
 -- 
 When I hear world "gun" I search for my culture.
 --- ifmail v.2.15dev5
  * Origin: Free Net of Leninsky,45 (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: OpenSSL   Alex Korchmar   23 Feb 2002 16:29:52 
 OpenSSL   Victor Ekimov   24 Feb 2002 15:39:47 
 Re: OpenSSL   Victor Wagner   24 Feb 2002 18:56:42 
 Re: OpenSSL   Alex Korchmar   25 Feb 2002 01:05:21 
 OpenSSL   Victor Ekimov   26 Feb 2002 17:35:22 
 OpenSSL   oleg taranov   27 Feb 2002 20:00:12 
 Re: OpenSSL   Vladimir Podgorny   25 Feb 2002 17:26:24 
 OpenSSL   Andrey Melnikov   26 Feb 2002 17:32:04 
 OpenSSL   Victor Ekimov   28 Feb 2002 23:17:25 
 OpenSSL   Andrey Melnikov   01 Mar 2002 13:35:18 
 Re: OpenSSL   Aleksey Barabanov   25 Feb 2002 22:00:03 
 Re: OpenSSL   Victor Wagner   25 Feb 2002 22:35:10 
 Re: OpenSSL   Aleksey Barabanov   03 Mar 2002 23:25:47 
 Re: OpenSSL   Victor Wagner   04 Mar 2002 00:25:12 
Архивное /ru.linux/151789aff8216.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional