|
|
ru.linux- RU.LINUX --------------------------------------------------------------------- From : Slawa Olhovchenkov 2:5030/500 14 Mar 2007 18:10:06 To : Victor Wagner Subject : Фоpмиpование паp ключей и сеpтификатов для _почты_ -------------------------------------------------------------------------------- 14 Mar 07, Victor Wagner writes to Slawa Olhovchenkov: SO>> 12 Mar 07, Victor Wagner writes to Konstantin Tereschenko: VW>> SO>> Поэтому лучше даже в случае apache завести свой VW>>> собственный УЦ, и распространить сертификат этого УЦ VW>>> (содержащий открытый ключ от того секретного ключа, на VW>>> котором подписываются сертификаты) по всем клиентам, VW>>> чтобы они установили его в соответствующее хранилище в VW>>> браузерах. SO>> А существуют ли опенсорсные халявные реализации УЦ под SO>> юнихи? Разумеется с поддержкой стандартного механизма SO>> проверки отзыва сертификата. Что-то типа SO>> http://ca.home-office.com:80/certsrv/mscep/mscep.dll Hу и SO>> еще интересует поддержка ocsp. Hу и CRL distribution SO>> point. VW> openssl (которая утилита) умеет по-моему всё вышеперечисленное. VW> Hу может быть 0.9.8 ещё что-то не умеет, если не умеет - посмотри в VW> снапшоте 0.9.9. VW> Естественно речь идет о криптографической и проткоольной части, а не от VW> том, какой именно путь в локальной файловой системе прописать в VW> опции -out прописать в команде openssl ca -gencrl, чтобы в результате VW> полученный CRL был виден именно по той url, которая в конфиге оного CA VW> прописана как значение extension crlDistributionPoint. VW> Есть, конечно, OpenXPKI (бывший OpenCA), на котором работают VW> национальные удостоверяющие центры некоторых европейских стран. VW> Там внутри в качестве cryptographic engine - тот же OpenSSL. VW> (в последнее время, они правда хотят сделать pluggable engines, но VW> по-моему до релиза ещё не довели). VW> Это монстер, который умеет всё, и работает с сотнями тысяч абонентов. VW> Hо настраивать его ты утрахаешься. либо ставить оффтопик. жопой наружу. VW> Поэтому, если у тебя абонентов меньше тысячи, рекомендую с ним не VW> связываться, а написать самопальную скриптовую обвязку вокруг утилиты VW> OpenSSL. Трудоемкость сравнимая будет. А где я возьму описание протокла, который начиная плясаться вокруг http://ca.home-office.com:80/certsrv/mscep/mscep.dll? VW> Авторы более простых в обращении ca (которые тоже обвязки вокруг VW> OpenSSL) на ocsp не заморачиваются. Если без OCSP можно обойтись, Я правда только слова знаю. Я посмотрел как проверка отзыва сертификата конфигуриться и выписал оттуда слова по теме. Так что я не знаю можно, неможно и в чем преимущества/недостатки и все такое. VW> посмотри на pyCA http://www.pyca.de/ Оно совместимо с http://ca.home-office.com:80/certsrv/mscep/mscep.dll? VW> Возможно, вариантом будет сочетание pyCA и отдельного скриптика для VW> запуска openssl ocsp в режиме сервера над той же базой данных. VW> (правда, тогда тебе придется хранить на том же сервере по крайней мере VW> один секретный ключ - которым OCSP responses подписываются). VW> По мнению автора pyCA хранить на доступном извне сервере секретные ключи VW> - стремно. По мнению ФСБ-шников, которые у нас в стране VW> криптографические средства сертифицируют - тоже. Если ты соберешься VW> такое сертифицировать, от тебя потребуют компьютер в защищенном VW> исполнении и операционную систему, сертифицированную на класс защиты КБ2 VW> (это, правда, скорее всего будет эхотаг - Атликс или МСВС) VW> Буржуи, которые используют OpenXPKI в качестве национальных УЦ, обычно VW> секретные ключи на диске тоже не хранят, а хранят их на смарткарте, VW> которая втыкается в аппаратный криптоакселератор. VW> Да, ещё. В apps/ocsp.c я носа не совал. И в crypto/ocsp/* - тоже. VW> Hи в 0.9.8, ни в 0.9.9. Так что с ГОСТ Р 34.10 OCSP в OpenSSL работать VW> не будет. А будешь совать? ... Ошибка пpи загpузке? Hе обpащайте внимания. --- GoldED+/BSD 1.1.5 * Origin: (2:5030/500) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор Архивное /ru.linux/222145f803b1.html, оценка из 5, голосов 10
|