Главная страница


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Slawa Olhovchenkov                   2:5030/500     14 Mar 2007  18:10:06
 To : Victor Wagner
 Subject : Фоpмиpование паp ключей и сеpтификатов для _почты_
 -------------------------------------------------------------------------------- 
 
 
 14 Mar 07, Victor Wagner writes to Slawa Olhovchenkov:
 
  SO>> 12 Mar 07, Victor Wagner writes to Konstantin Tereschenko:   VW>>
  SO>> Поэтому лучше даже в случае apache завести свой
  VW>>> собственный УЦ, и распространить сертификат этого УЦ
  VW>>> (содержащий открытый ключ от того секретного ключа, на
  VW>>> котором подписываются сертификаты) по всем клиентам,
  VW>>> чтобы они установили его в соответствующее хранилище в
  VW>>> браузерах.
  SO>> А существуют ли опенсорсные халявные реализации УЦ под
  SO>> юнихи? Разумеется с поддержкой стандартного механизма
  SO>> проверки отзыва сертификата. Что-то типа
  SO>> http://ca.home-office.com:80/certsrv/mscep/mscep.dll Hу и
  SO>> еще интересует поддержка ocsp. Hу и CRL distribution
  SO>> point.
 
  VW> openssl (которая утилита) умеет по-моему всё вышеперечисленное.
  VW> Hу может быть 0.9.8 ещё что-то не умеет, если не умеет - посмотри в
  VW> снапшоте 0.9.9.
 
  VW> Естественно речь идет о криптографической и проткоольной части, а не от
  VW> том, какой именно путь в локальной файловой системе прописать в
  VW> опции -out прописать в команде openssl ca -gencrl, чтобы в результате
  VW> полученный CRL был виден именно по той url, которая в конфиге оного CA
  VW> прописана как значение extension crlDistributionPoint.
 
  VW> Есть, конечно, OpenXPKI (бывший OpenCA), на котором работают
  VW> национальные удостоверяющие центры некоторых европейских стран.
  VW> Там внутри в качестве cryptographic engine - тот же OpenSSL.
  VW> (в последнее время, они правда хотят сделать pluggable engines, но
  VW> по-моему до релиза ещё не довели).
 
  VW> Это монстер, который умеет всё, и работает с сотнями тысяч абонентов.
 
  VW> Hо настраивать его ты утрахаешься.
 
 либо ставить оффтопик. жопой наружу.
 
  VW> Поэтому, если у тебя абонентов меньше тысячи, рекомендую с ним не
  VW> связываться, а написать самопальную скриптовую обвязку вокруг утилиты
  VW> OpenSSL. Трудоемкость сравнимая будет.
 
 А где я возьму описание протокла, который начиная плясаться вокруг
 http://ca.home-office.com:80/certsrv/mscep/mscep.dll?
 
  VW> Авторы более простых в обращении ca (которые тоже обвязки вокруг
  VW> OpenSSL) на ocsp не заморачиваются. Если без OCSP можно обойтись,
 
 Я правда только слова знаю. Я посмотрел как проверка отзыва сертификата
 конфигуриться и выписал оттуда слова по теме. Так что я не знаю можно, неможно и
 в чем преимущества/недостатки и все такое.
 
  VW> посмотри на pyCA http://www.pyca.de/
 
 Оно совместимо с http://ca.home-office.com:80/certsrv/mscep/mscep.dll?
 
  VW> Возможно, вариантом будет сочетание pyCA и отдельного скриптика для
  VW> запуска openssl ocsp в режиме сервера над той же базой данных.
  VW> (правда, тогда тебе придется хранить на том же сервере по крайней мере
  VW> один секретный ключ - которым OCSP responses подписываются).
 
  VW> По мнению автора pyCA хранить на доступном извне сервере секретные ключи
  VW> - стремно. По мнению ФСБ-шников, которые у нас в стране
  VW> криптографические средства сертифицируют - тоже. Если ты соберешься
  VW> такое сертифицировать, от тебя потребуют компьютер в защищенном
  VW> исполнении и операционную систему, сертифицированную на класс защиты КБ2
  VW> (это, правда, скорее всего будет эхотаг - Атликс или МСВС)
 
  VW> Буржуи, которые используют OpenXPKI в качестве национальных УЦ, обычно
  VW> секретные ключи на диске тоже не хранят, а хранят их на смарткарте,
  VW> которая втыкается в аппаратный криптоакселератор.
 
  VW> Да, ещё. В apps/ocsp.c я носа не совал. И в crypto/ocsp/* - тоже.
  VW> Hи в 0.9.8, ни в 0.9.9. Так что с ГОСТ Р 34.10 OCSP в OpenSSL работать
  VW> не будет.
 
 А будешь совать?
 
 ... Ошибка пpи загpузке? Hе обpащайте внимания.
 --- GoldED+/BSD 1.1.5
  * Origin:  (2:5030/500)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Фоpмиpование паp ключей и сеpтификатов для _почты_   Konstantin Tereschenko   09 Mar 2007 14:32:31 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Peter Svistunov   13 Mar 2007 03:31:24 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Victor Wagner   13 Mar 2007 00:06:10 
 Фоpмиpование паp ключей и сеpтификатов для _почты_   Konstantin Tereschenko   13 Mar 2007 13:53:06 
 Фоpмиpование паp ключей и сеpтификатов для _почты_   Slawa Olhovchenkov   14 Mar 2007 13:51:26 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Victor Wagner   14 Mar 2007 17:19:23 
 Фоpмиpование паp ключей и сеpтификатов для _почты_   Slawa Olhovchenkov   14 Mar 2007 18:10:06 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Victor Wagner   14 Mar 2007 19:55:59 
 Фоpмиpование паp ключей и сеpтификатов для _почты_   Slawa Olhovchenkov   14 Mar 2007 20:59:56 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Victor Wagner   14 Mar 2007 23:51:29 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Victor Wagner   14 Mar 2007 21:18:58 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Eugene B. Berdnikov   14 Mar 2007 17:45:13 
 Фоpмиpование паp ключей и сеpтификатов для _почты_   Slawa Olhovchenkov   14 Mar 2007 14:02:20 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Victor Wagner   14 Mar 2007 17:29:29 
 Фоpмиpование паp ключей и сеpтификатов для _почты_   Slawa Olhovchenkov   14 Mar 2007 18:17:12 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Victor Wagner   14 Mar 2007 20:04:05 
 Фоpмиpование паp ключей и сеpтификатов для _почты_   Slawa Olhovchenkov   14 Mar 2007 20:53:58 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Artem Chuprina   14 Mar 2007 22:15:35 
 Re: Фоpмиpование паp ключей и сеpтификатов для _почты_   Victor Wagner   14 Mar 2007 23:45:51 
 Фоpмиpование паp ключей и сеpтификатов для _почты_   Slawa Olhovchenkov   15 Mar 2007 02:05:40 
Архивное /ru.linux/222145f803b1.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional