Приветствую!Примерно два года назад настроил mail сервер, сгенерил корневой сертификат, сгенерил клиентский сертификат, подписал его всё связал, запустил, раздал сертификаты - всё работало. Прошёл год... Закончился срок сертификатов, пришлось генерить новый корневой, новый клиентский и просить 1500 пользователей скачать новый сертификат...
Сейчас подходит к концу второй год :) Количество ящиков уже превышает 5000 и я с ужасом думаю, что придётся их всех попросить поменять сертификат... И сколько будет звонков по поводу нерабочей почты :)
Так вот, может я что-то не так делаю? Ведь это не нормально каждый раз просить пользователей скачивать новые сертификаты... Как это делается правильно?
А ещё "я слышал" о такой штуке, как сервер сертификации... Эта штука как-то взаимодействует с сертификатами или это просто сервер, на котором сертификат можно заказать? Просто однажды я видел табличку: сертификат истёк, проверить обновление на сервере сертификации? Может мне тоже нужно открыть такую штуку? Как?
Два вопроса - сервер ? ОС ?
>Два вопроса - сервер ? ОС ?
stunnel, Linux RH 9
Смысл регулярной смены ключей заключается в том, что хакеры могут накопить статистику пар открытый-закрытый текст, которая потенциально может упростить взлом ключа. Ключ, который выдается почтовому серверу используется для подписывания и шифрования каждой почтовой сессии, которых за день могут быть многие тысячи. Этот ключ надо менять часто (скажем, раз в год). А ключи CA (а особенно, корневых CA!) можно менять и реже (например раз в 50 лет). Опасности это практически не представляет, т.к. используется этот ключ очень редко (для подписывания сертификатов для серверов).
Если посмотреть на срок жизни корневых сертификатов всяких verisign'ов, он составляет 10-30 лет.
Так что один раз перепишите всем корневой сертификат со сроком жизни 50 лет, и спокойно перевыпускайте сертификат почтового сервера раз в год, подписывая их одним и тем же ключом корневого CA.
>Так что один раз перепишите всем корневой сертификат со сроком жизни 50
>лет, и спокойно перевыпускайте сертификат почтового сервера раз в год, подписывая
>их одним и тем же ключом корневого CA.То есть я создаю корневой сертификат на 50 лет, создаю клиентский сертификат на 1 год, подписываю клиентский сертификат корневым и раздаю всем пользователям корневой сертификат, а клиентский скармливаю stunnel'у. По прошествии года я переподписываю клиентский (тот, что используется stunnel'ем) сертификат и всё продолжает работать? То есть пользователям не нужно ничего переустанавливать?
>То есть я создаю корневой сертификат на 50 лет, создаю клиентский сертификат
>на 1 год, подписываю клиентский сертификат корневым и раздаю всем пользователям
>корневой сертификат, а клиентский скармливаю stunnel'у.Именно так.
> По прошествии года я переподписываю
>клиентский (тот, что используется stunnel'ем) сертификат и всё продолжает работать? То
>есть пользователям не нужно ничего переустанавливать?Через год надо будет выпустить _новый_ "клиентский" сертификат и подписать его старым корневым ключом. На клиентских машинах ничего перенастраивать не надо будет.
А еще можно сделать сервер сертификатов, через который будут распространяться списки отзыва недействительных сертификатов, и если вас вдруг несправедливо обидят на работе, внесете туда корневой сертификат и потом будете смеяться, как новый админ будет регистрировать новые сертификаты на всех машинах :)))
>А еще можно сделать сервер сертификатовМожно поподробней? Или где почитать?
>>А еще можно сделать сервер сертификатов
>Можно поподробней? Или где почитать?Почитать книжки по криптографии. Ключевое слово - PKI (public key infrastructure). Стандарт на сертификаты - X.509. Короткое, но достаточно понятное описание общих принципов - в документации на OpenSSL.