[gentoo-user-ru] openssl: certificate authority

[gentoo-user-ru] openssl: certificate authority

[Anton Ananich]

[-- Attachment #1: Type: text/plain, Size: 1653 bytes --]

Здравствуйте все! С наступившим новым годом! :-)
Я пытаюсь сделать Certificate Authority (CA) с помощью openssl. И тут у меня
возникло два вопроса.

Первый вопрос в следующем: как правильно настроить openssl чтобы все
программы типа sshd, openvpn, apache (https), и т.п. использовали
сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от
предположения, что должно быть единое хранилище. Однако это лишь мое
предположение, основанное на здравом смысле. Возможно ли использовать единое
хранилище для сертификатов?

А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим
вопросом :)
Certificate authority как единое хранилище сертификатов должен содержать
certificate revocation list (CRL). Как нужно настроить openssl, чтобы
выдаваемые сертификаты содержали информацию о расположении CRL и как сделать
так, чтобы клиентские приложения периодически проверяли сертификаты, которые
они используют через CRL?

С уважением,
Антон Ананич
http://ananich.wordpress.com

[-- Attachment #2: Type: text/html, Size: 1848 bytes --]

Re: [gentoo-user-ru] openssl: certificate authority

[spirit]

Anton Ananich пишет:
> Здравствуйте все! С наступившим новым годом! :-)
> 
> Я пытаюсь сделать Certificate Authority (CA) с помощью openssl. И тут у
> меня возникло два вопроса.
> 
> Первый вопрос в следующем: как правильно настроить openssl чтобы все
> программы типа sshd, openvpn, apache (https), и т.п. использовали
> сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от
> предположения, что должно быть единое хранилище. Однако это лишь мое
> предположение, основанное на здравом смысле. Возможно ли использовать
> единое хранилище для сертификатов?
> 
по крайней мере единое хранилище для корневых сертификатов обычно тут: /etc/ssl/certs.
дальше запускается update-ca-certificates, который формирует кэш /etc/ssl/certs/ca-certificates.crt
). приватные части там не храняться. их надо отдельно где нить хранить в недоступном месте.
что бы программы использовали один сертификат - надо одинаковый прописывать в настройках ).

> А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим
> вопросом :)
> Certificate authority как единое хранилище сертификатов должен содержать
> certificate revocation list (CRL). Как нужно настроить openssl, чтобы
> выдаваемые сертификаты содержали информацию о расположении CRL и как
> сделать так, чтобы клиентские приложения периодически проверяли
> сертификаты, которые они используют через CRL?
> 
хм. мне бы тоже хотелось услышать ответ на этот вопрос, но все же кажется все сертификаты ищут
конревой как раз в /etc/ssl/certs/ca-certificates.crt, что бы подтвердить себя, или если это умная
программа типа браузера, то у нее есть еще свои публичные сертификаты от VeriSign например, с
которыми она и сверяет. Если клиент не заюзает у себя твой корневой сертфикат, то CRL побоку. Но я
буду рад, если твоя идея имеет жизнь :) я бы тоже прикрутил у себя. )

> С уважением,
> Антон Ананич
> http://ananich.wordpress.com

Re: [gentoo-user-ru] openssl: certificate authority

[Edward Hades]

[-- Attachment #1: Type: text/plain, Size: 4441 bytes --]

On Sunday 04 January 2009 02:30:38 Anton Ananich wrote:
> Первый вопрос в следующем: как правильно настроить openssl чтобы все
> программы типа sshd, openvpn, apache (https), и т.п. использовали
> сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от
> предположения, что должно быть единое хранилище. Однако это лишь мое
> предположение, основанное на здравом смысле. Возможно ли использовать
> единое хранилище для сертификатов?

Во-первых, sshd не использует ssl.

Во-вторых, не очень понятно что имеется ввиду под "хранилищем". На каждом 
компьютере хранятся доверенные корневые сертификаты, то есть подразумевается, 
что если программа получает от собеседника сертификат (например, браузер 
получает сертификат удалённого веб-сервера, или веб-сервер получает клиентский 
сертификат, или openvpn получает опять-таки клиентский сертификат), 
подписанный каким либо из этих корневых сертификатов, то он признаёт его 
подлинным (то есть собеседник действительно то, что написано в сертификате).

Соответственно, при создании своей CA нужно разослать её корневой сертификат 
по всем компьютерам, которые собираются этой CA доверять, и разместить в 
нужном месте (в случае Gentoo /etc/ssl/certs и прогнать update-ca-
certificates).

Также, каждый сервер и клиент, которые собираются удостоверять _свою_ личность 
сертификатом, хранят у себя _свой_ сертификат (выданный центром сертификации) 
и секретный ключ. Хранить чужие сертификаты им не нужно, так как они 
передаются при ssl-handshake, а подлинность их удостоверяется подписью 
доверенной CA.

В самой CA хранится секретный ключ и сертификат CA, а также все выданные ею 
сертификаты (исключительно для возможности их отозвать, а не с целью 
централизованного хранения, доступа и удостоверения подлинности).

Таким образом, централизованного хранилища _всех_ сертификатов с общим 
доступом создавать не нужно (если я правильно понимаю вопрос).


>
> А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим
> вопросом :)
> Certificate authority как единое хранилище сертификатов должен содержать
> certificate revocation list (CRL). Как нужно настроить openssl, чтобы
> выдаваемые сертификаты содержали информацию о расположении CRL и как
> сделать так, чтобы клиентские приложения периодически проверяли
> сертификаты, которые они используют через CRL?

Насколько я знаю, это делается с помощью расширения CRLDP (CRL Distribution 
Point), но я не знаю как с ним работать, и насколько хорошо с ним работают 
приложения. Буду рад, если кто-то просветит нас в этом вопросе ;)

-- 
Edward "Hades" Toroshchin,
Aides on irc.freenode.org



[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [gentoo-user-ru] openssl: certificate authority

[Anton Ananich]

Спасибо, Эдвард!

Из этого письма мне стало многое понятно, в частности то, что
терминами я оперировал несколько неумело. В частности под хранилищем я
понимал CA (корневой сертификат + все выданные).

Я думаю будет уместно переформулировать вопрос и задать его более четко.

С благодарностью,
Антон Ананич

2009/1/4 Edward Hades <edward.hades@gmail.com>
>
> On Sunday 04 January 2009 02:30:38 Anton Ananich wrote:
> > Первый вопрос в следующем: как правильно настроить openssl чтобы все
> > программы типа sshd, openvpn, apache (https), и т.п. использовали
> > сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от
> > предположения, что должно быть единое хранилище. Однако это лишь мое
> > предположение, основанное на здравом смысле. Возможно ли использовать
> > единое хранилище для сертификатов?
>
> Во-первых, sshd не использует ssl.
>
> Во-вторых, не очень понятно что имеется ввиду под "хранилищем". На каждом
> компьютере хранятся доверенные корневые сертификаты, то есть подразумевается,
> что если программа получает от собеседника сертификат (например, браузер
> получает сертификат удалённого веб-сервера, или веб-сервер получает клиентский
> сертификат, или openvpn получает опять-таки клиентский сертификат),
> подписанный каким либо из этих корневых сертификатов, то он признаёт его
> подлинным (то есть собеседник действительно то, что написано в сертификате).
>
> Соответственно, при создании своей CA нужно разослать её корневой сертификат
> по всем компьютерам, которые собираются этой CA доверять, и разместить в
> нужном месте (в случае Gentoo /etc/ssl/certs и прогнать update-ca-
> certificates).
>
> Также, каждый сервер и клиент, которые собираются удостоверять _свою_ личность
> сертификатом, хранят у себя _свой_ сертификат (выданный центром сертификации)
> и секретный ключ. Хранить чужие сертификаты им не нужно, так как они
> передаются при ssl-handshake, а подлинность их удостоверяется подписью
> доверенной CA.
>
> В самой CA хранится секретный ключ и сертификат CA, а также все выданные ею
> сертификаты (исключительно для возможности их отозвать, а не с целью
> централизованного хранения, доступа и удостоверения подлинности).
>
> Таким образом, централизованного хранилища _всех_ сертификатов с общим
> доступом создавать не нужно (если я правильно понимаю вопрос).
>
>
> >
> > А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим
> > вопросом :)
> > Certificate authority как единое хранилище сертификатов должен содержать
> > certificate revocation list (CRL). Как нужно настроить openssl, чтобы
> > выдаваемые сертификаты содержали информацию о расположении CRL и как
> > сделать так, чтобы клиентские приложения периодически проверяли
> > сертификаты, которые они используют через CRL?
>
> Насколько я знаю, это делается с помощью расширения CRLDP (CRL Distribution
> Point), но я не знаю как с ним работать, и насколько хорошо с ним работают
> приложения. Буду рад, если кто-то просветит нас в этом вопросе ;)
>
> --
> Edward "Hades" Toroshchin,
> Aides on irc.freenode.org
>
>