* [gentoo-user-ru] openssl: certificate authority
@ 2009-01-03 23:30 Anton Ananich
2009-01-04 4:29 ` spirit
2009-01-04 13:08 ` Edward Hades
0 siblings, 2 replies; 4+ messages in thread
From: Anton Ananich @ 2009-01-03 23:30 UTC (permalink / raw
To: gentoo-user-ru
[-- Attachment #1: Type: text/plain, Size: 1653 bytes --]
Здравствуйте все! С наступившим новым годом! :-)
Я пытаюсь сделать Certificate Authority (CA) с помощью openssl. И тут у меня
возникло два вопроса.
Первый вопрос в следующем: как правильно настроить openssl чтобы все
программы типа sshd, openvpn, apache (https), и т.п. использовали
сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от
предположения, что должно быть единое хранилище. Однако это лишь мое
предположение, основанное на здравом смысле. Возможно ли использовать единое
хранилище для сертификатов?
А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим
вопросом :)
Certificate authority как единое хранилище сертификатов должен содержать
certificate revocation list (CRL). Как нужно настроить openssl, чтобы
выдаваемые сертификаты содержали информацию о расположении CRL и как сделать
так, чтобы клиентские приложения периодически проверяли сертификаты, которые
они используют через CRL?
С уважением,
Антон Ананич
http://ananich.wordpress.com
[-- Attachment #2: Type: text/html, Size: 1848 bytes --]
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [gentoo-user-ru] openssl: certificate authority
2009-01-03 23:30 [gentoo-user-ru] openssl: certificate authority Anton Ananich
@ 2009-01-04 4:29 ` spirit
2009-01-04 13:08 ` Edward Hades
1 sibling, 0 replies; 4+ messages in thread
From: spirit @ 2009-01-04 4:29 UTC (permalink / raw
To: gentoo-user-ru
Anton Ananich пишет:
> Здравствуйте все! С наступившим новым годом! :-)
>
> Я пытаюсь сделать Certificate Authority (CA) с помощью openssl. И тут у
> меня возникло два вопроса.
>
> Первый вопрос в следующем: как правильно настроить openssl чтобы все
> программы типа sshd, openvpn, apache (https), и т.п. использовали
> сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от
> предположения, что должно быть единое хранилище. Однако это лишь мое
> предположение, основанное на здравом смысле. Возможно ли использовать
> единое хранилище для сертификатов?
>
по крайней мере единое хранилище для корневых сертификатов обычно тут: /etc/ssl/certs.
дальше запускается update-ca-certificates, который формирует кэш /etc/ssl/certs/ca-certificates.crt
). приватные части там не храняться. их надо отдельно где нить хранить в недоступном месте.
что бы программы использовали один сертификат - надо одинаковый прописывать в настройках ).
> А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим
> вопросом :)
> Certificate authority как единое хранилище сертификатов должен содержать
> certificate revocation list (CRL). Как нужно настроить openssl, чтобы
> выдаваемые сертификаты содержали информацию о расположении CRL и как
> сделать так, чтобы клиентские приложения периодически проверяли
> сертификаты, которые они используют через CRL?
>
хм. мне бы тоже хотелось услышать ответ на этот вопрос, но все же кажется все сертификаты ищут
конревой как раз в /etc/ssl/certs/ca-certificates.crt, что бы подтвердить себя, или если это умная
программа типа браузера, то у нее есть еще свои публичные сертификаты от VeriSign например, с
которыми она и сверяет. Если клиент не заюзает у себя твой корневой сертфикат, то CRL побоку. Но я
буду рад, если твоя идея имеет жизнь :) я бы тоже прикрутил у себя. )
> С уважением,
> Антон Ананич
> http://ananich.wordpress.com
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [gentoo-user-ru] openssl: certificate authority
2009-01-03 23:30 [gentoo-user-ru] openssl: certificate authority Anton Ananich
2009-01-04 4:29 ` spirit
@ 2009-01-04 13:08 ` Edward Hades
2009-01-04 23:18 ` Anton Ananich
1 sibling, 1 reply; 4+ messages in thread
From: Edward Hades @ 2009-01-04 13:08 UTC (permalink / raw
To: gentoo-user-ru
[-- Attachment #1: Type: text/plain, Size: 4441 bytes --]
On Sunday 04 January 2009 02:30:38 Anton Ananich wrote:
> Первый вопрос в следующем: как правильно настроить openssl чтобы все
> программы типа sshd, openvpn, apache (https), и т.п. использовали
> сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от
> предположения, что должно быть единое хранилище. Однако это лишь мое
> предположение, основанное на здравом смысле. Возможно ли использовать
> единое хранилище для сертификатов?
Во-первых, sshd не использует ssl.
Во-вторых, не очень понятно что имеется ввиду под "хранилищем". На каждом
компьютере хранятся доверенные корневые сертификаты, то есть подразумевается,
что если программа получает от собеседника сертификат (например, браузер
получает сертификат удалённого веб-сервера, или веб-сервер получает клиентский
сертификат, или openvpn получает опять-таки клиентский сертификат),
подписанный каким либо из этих корневых сертификатов, то он признаёт его
подлинным (то есть собеседник действительно то, что написано в сертификате).
Соответственно, при создании своей CA нужно разослать её корневой сертификат
по всем компьютерам, которые собираются этой CA доверять, и разместить в
нужном месте (в случае Gentoo /etc/ssl/certs и прогнать update-ca-
certificates).
Также, каждый сервер и клиент, которые собираются удостоверять _свою_ личность
сертификатом, хранят у себя _свой_ сертификат (выданный центром сертификации)
и секретный ключ. Хранить чужие сертификаты им не нужно, так как они
передаются при ssl-handshake, а подлинность их удостоверяется подписью
доверенной CA.
В самой CA хранится секретный ключ и сертификат CA, а также все выданные ею
сертификаты (исключительно для возможности их отозвать, а не с целью
централизованного хранения, доступа и удостоверения подлинности).
Таким образом, централизованного хранилища _всех_ сертификатов с общим
доступом создавать не нужно (если я правильно понимаю вопрос).
>
> А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим
> вопросом :)
> Certificate authority как единое хранилище сертификатов должен содержать
> certificate revocation list (CRL). Как нужно настроить openssl, чтобы
> выдаваемые сертификаты содержали информацию о расположении CRL и как
> сделать так, чтобы клиентские приложения периодически проверяли
> сертификаты, которые они используют через CRL?
Насколько я знаю, это делается с помощью расширения CRLDP (CRL Distribution
Point), но я не знаю как с ним работать, и насколько хорошо с ним работают
приложения. Буду рад, если кто-то просветит нас в этом вопросе ;)
--
Edward "Hades" Toroshchin,
Aides on irc.freenode.org
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [gentoo-user-ru] openssl: certificate authority
2009-01-04 13:08 ` Edward Hades
@ 2009-01-04 23:18 ` Anton Ananich
0 siblings, 0 replies; 4+ messages in thread
From: Anton Ananich @ 2009-01-04 23:18 UTC (permalink / raw
To: gentoo-user-ru
Спасибо, Эдвард!
Из этого письма мне стало многое понятно, в частности то, что
терминами я оперировал несколько неумело. В частности под хранилищем я
понимал CA (корневой сертификат + все выданные).
Я думаю будет уместно переформулировать вопрос и задать его более четко.
С благодарностью,
Антон Ананич
2009/1/4 Edward Hades <edward.hades@gmail.com>
>
> On Sunday 04 January 2009 02:30:38 Anton Ananich wrote:
> > Первый вопрос в следующем: как правильно настроить openssl чтобы все
> > программы типа sshd, openvpn, apache (https), и т.п. использовали
> > сертификаты из единого хранилища. Я как бы неявно отталкиваюсь от
> > предположения, что должно быть единое хранилище. Однако это лишь мое
> > предположение, основанное на здравом смысле. Возможно ли использовать
> > единое хранилище для сертификатов?
>
> Во-первых, sshd не использует ssl.
>
> Во-вторых, не очень понятно что имеется ввиду под "хранилищем". На каждом
> компьютере хранятся доверенные корневые сертификаты, то есть подразумевается,
> что если программа получает от собеседника сертификат (например, браузер
> получает сертификат удалённого веб-сервера, или веб-сервер получает клиентский
> сертификат, или openvpn получает опять-таки клиентский сертификат),
> подписанный каким либо из этих корневых сертификатов, то он признаёт его
> подлинным (то есть собеседник действительно то, что написано в сертификате).
>
> Соответственно, при создании своей CA нужно разослать её корневой сертификат
> по всем компьютерам, которые собираются этой CA доверять, и разместить в
> нужном месте (в случае Gentoo /etc/ssl/certs и прогнать update-ca-
> certificates).
>
> Также, каждый сервер и клиент, которые собираются удостоверять _свою_ личность
> сертификатом, хранят у себя _свой_ сертификат (выданный центром сертификации)
> и секретный ключ. Хранить чужие сертификаты им не нужно, так как они
> передаются при ssl-handshake, а подлинность их удостоверяется подписью
> доверенной CA.
>
> В самой CA хранится секретный ключ и сертификат CA, а также все выданные ею
> сертификаты (исключительно для возможности их отозвать, а не с целью
> централизованного хранения, доступа и удостоверения подлинности).
>
> Таким образом, централизованного хранилища _всех_ сертификатов с общим
> доступом создавать не нужно (если я правильно понимаю вопрос).
>
>
> >
> > А второй вопрос не совсем связан с gentoo, но очень связан с предыдущим
> > вопросом :)
> > Certificate authority как единое хранилище сертификатов должен содержать
> > certificate revocation list (CRL). Как нужно настроить openssl, чтобы
> > выдаваемые сертификаты содержали информацию о расположении CRL и как
> > сделать так, чтобы клиентские приложения периодически проверяли
> > сертификаты, которые они используют через CRL?
>
> Насколько я знаю, это делается с помощью расширения CRLDP (CRL Distribution
> Point), но я не знаю как с ним работать, и насколько хорошо с ним работают
> приложения. Буду рад, если кто-то просветит нас в этом вопросе ;)
>
> --
> Edward "Hades" Toroshchin,
> Aides on irc.freenode.org
>
>
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2009-01-04 23:18 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz follow: Atom feed
-- links below jump to the message on this page --
2009-01-03 23:30 [gentoo-user-ru] openssl: certificate authority Anton Ananich
2009-01-04 4:29 ` spirit
2009-01-04 13:08 ` Edward Hades
2009-01-04 23:18 ` Anton Ananich
This is a public inbox, see mirroring instructions
for how to clone and mirror all data and code used for this inbox