| 1.1, Wulf (?), 18:20, 03/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ключевая фраза во всем повествовании отражает его бессмысленность:
Send cacert.pem to anyone who is going to use your secure servers, so they can install it in their browsers, mail clients, et cetera as a root certificate.
Наличие в конфиге апача строчки:
SSLCACertificateFile /path/to/ca.crt позволит ему (апачу) самостоятельно раздавать эти сертификаты клиентам. Их браузеры ругнутся только один раз при первом коннекте, предложат установить этот самый сертификат, скачают при утвердительном ответе и установят автоматически без всяких ручных рассылок. | | |
| |
| 2.2, AlexF (??), 18:45, 03/11/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Может и с некоторыми браузерами такой номер пройдет, но без рассылки и установки клиентами root-сетрификата не обойтись, если SSL используется например для почты - клиенты гарантированно будут ругаться при каждом обмене почты. | | |
| |
| 3.4, wulf (?), 20:40, 03/11/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Согласен, моя неправда про сервисы, отличные от http. Просто прочитал заголовок и подумал "Неужели кто-то придумал способ обмануть эти самые браузеры и обходится без занятия по пересылке денег и копий документов в какую-нибудь Thawte?" Ан нет, ничего в мире не изменилось. Не хочешь платить - раздавай сертификаты собственноручно. :-( | | |
| |
| 4.8, Anon (?), 05:54, 04/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
А это уже принципы отношений к CA, заложеные в PKI - доверяю только тем, кому доверяю.Не стану доверять компании, выдавающей ключи для генерации банковских электронных подписей лишь по заполнении неких вёб форм. Мне нужно, чтоб этот CA реально знал, что каждый ключ, им выданый, стоял за реальной организацией, со своими документами и обязяностями, которые они выполнят, электронно подписав документ. Верисигн и фафте этот авторитет зарабатывали перед тем, как буть включёнными в рут CA мелкософта и пр.
Ну да Вы знаете, просто напомнить =) | | |
| |
| 5.12, Wulf (?), 14:08, 04/11/2005 [^] [^^] [^^^] [ответить]
| +/– | |
В банковских делах - там все немного сложнее, там кроме ключа, идентифицирующего банк, еще надо создать и передать ключ, идентифицирующий клиента. Но я имел ввиду другое. Часто возникает ситуация, когда достаточно только зашифровать передачу, а подлинность проверять не так важно ввиду несоответствия трудозатрат на организацию поддельного сервера с важностью полученной информации. Как пример, могу привести сервер dialup-статистики. Тут и выясняется, что поднять шифрованое соединение без подозрений браузера на то, что ваш собственный сервер поддельный или оплаты денег забугор, невозможно. | | |
|
|
|
| 2.14, Александр (??), 14:40, 07/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
 >Наличие в конфиге апача строчки:
>SSLCACertificateFile /path/to/ca.crt позволит ему (апачу) самостоятельно
>раздавать эти сертификаты клиентам.
помнится, эта опция предназначена совсем для другой цели - для хранения CA сертификатов клиентов,
например при организации аутентификации клиентов на стороне сервера по их сертификатам
т.е. клиент получает личный сертификат, устанавливает его в свой браузер,
а на сервер передается доверенный CA сертификат
достаточно подробно все это описано в http://www.opennet.ru/base/sec/ssl_cert.txt.html | | |
| |
| 3.15, Wulf (?), 16:04, 07/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
> помнится, эта опция предназначена совсем для другой цели - для хранения CA сертификатов клиентов,
> например при организации аутентификации клиентов на стороне сервера по их сертификатам
> т.е. клиент получает личный сертификат, устанавливает его в свой браузер,
> а на сервер передается доверенный CA сертификат
> достаточно подробно все это описано в http://www.opennet.ru/base/sec/ssl_cert.txt.html
Эта опция предназначена просто для хранения CA сертификатов. Вы можете подписать одним собственным CA сертификационные запросы как сервера, так и клиентов. В этом случае (ну и при наличии SSLCACertificateFile /path/to/ca.crt), Вам не нужно будет для каждого клиента передавать CA сертификат на сервер (он там уже будет сразу) и, так-же заботится об ругани браузера при повторном заходе на страницу, т.к. во время первого захода браузер получит возможность скачать CA-сертификат | | |
| |
| 4.16, Александр (??), 07:24, 08/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
ради интереса проверил все заново
эта штука проходит только в opera, действительно загружается нужный корневой сертификат и в дальнейшем никаких предупреждений не выдается (если специально об этом не просить:)
ie и firefox на это дело никак не реагируют, в них можно загрузить только сертификат сервера, который firefox в дальнейшем принимает без вопросов
а ie все равно выдает предупреждение
| | |
| |
| 5.17, Wulf (?), 11:05, 08/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
> а ie все равно выдает предупреждение
В IE необходимо: Просмотр сертификата -> Путь сертификации, выбрать корневой сертификат в дереве -> Просмотр сертификата -> Установить сертификат. Далее везде выбирать "Авто". Хотя, при каких-то условиях, он может быть установлен и просто с помощью "Просмотр сертификата -> Установить сертификат", но при каких (или нужна ОС младше XP, или еще что-то), сейчас уже не вспомню. Давно было дело. | | |
|
|
|
|
| 1.3, odip (?), 19:00, 03/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Глупости какие - что же они все руками делают-то ?
Берется CA.pl из openssl.
Например в FreeBSD 5.x - /usr/src/crypto/openssl/apps/CA.pl
Файл openssl.cnf правится под себя
- и клепай себе сертификаты.
| | |
| |
| 2.10, odip (?), 07:52, 04/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
>А в чем прикол, я не понял, уже не прикольно делать самоподписанные,
>уже давненько как работает http://www.cacert.org/, чем он то не устраивает????
>все бесплатно
1) Незнание про него
2) Свой интереснее ;)
| | |
| 2.11, odip (?), 07:56, 04/11/2005 [^] [^^] [^^^] [ответить]
| +/– |
Сертификат от www.cacert.org уже включен в IE,Mozilla,Firefox,Windows ?
Вроде нет - тогда он пока ничем не лучше чем свой CA !
| | |
|
| 1.13, fi (?), 12:10, 07/11/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Да, статья правильная. Только такой связный сертификат работает для всех браузеров. Можно даже делать *.domainname.
В этом смысле CA.pl делает не правильный сертификат, но это и понятно, так задумано.
cacert.org конечно хорошо, но иногда проще всем клиентам свой CA root поставить, а потом кормить их уже разными сервисами. Но самый вариант - подписать свой CA root сертификат через cacert.org.
| | |
|
