forum.opennet.ru - "OpenNews: Создание собственноручно подписанных сертификатов ..." (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Создание собственноручно подписанных сертификатов ..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Создание собственноручно подписанных сертификатов ..."
Сообщение от opennews on 03-Ноя-05, 18:20
В статье "Creating and Using a self signed SSL Certificates in debian (http://www.debian-administration.org/articles/284)" изложена методика генерации полноценного сертификата, не требующего заверения у платного корневого CA (certificate authority), путем самостоятельной генерации собственного корневого CA, для подписи своих сертификатов, на которые не будут ругаться различные программы. URL: http://www.debian-administration.org/articles/284 Новость: http://www.opennet.me/opennews/art.shtml?num=6372
Cообщить модератору \| Наверх \| ^

Оглавление

Создание собственноручно подписанных сертификатов в OpenSSL, Wulf, 18:20 , 03-Ноя-05, (1)

Создание собственноручно подписанных сертификатов в OpenSSL, AlexF, 18:45 , 03-Ноя-05, (2)

Создание собственноручно подписанных сертификатов в OpenSSL, wulf, 20:40 , 03-Ноя-05, (4)

Создание собственноручно подписанных сертификатов в OpenSSL, Anon, 05:54 , 04-Ноя-05, (8)

Создание собственноручно подписанных сертификатов в OpenSSL, Wulf, 14:08 , 04-Ноя-05, (12)

Создание собственноручно подписанных сертификатов в OpenSSL, Александр, 14:40 , 07-Ноя-05, (14)

Создание собственноручно подписанных сертификатов в OpenSSL, Wulf, 16:04 , 07-Ноя-05, (15)

Создание собственноручно подписанных сертификатов в OpenSSL, Александр, 07:24 , 08-Ноя-05, (16)

Создание собственноручно подписанных сертификатов в OpenSSL, Wulf, 11:05 , 08-Ноя-05, (17)

Создание собственноручно подписанных сертификатов в OpenSSL, odip, 19:00 , 03-Ноя-05, (3)
Создание собственноручно подписанных сертификатов в OpenSSL, alexbfd, 07:45 , 04-Ноя-05, (9)

Создание собственноручно подписанных сертификатов в OpenSSL, odip, 07:52 , 04-Ноя-05, (10)
Создание собственноручно подписанных сертификатов в OpenSSL, odip, 07:56 , 04-Ноя-05, (11)

Создание собственноручно подписанных сертификатов в OpenSSL, fi, 12:10 , 07-Ноя-05, (13)

Сообщения по теме [Сортировка по времени, UBB]

1. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от Wulf on 03-Ноя-05, 18:20

Ключевая фраза во всем повествовании отражает его бессмысленность:
Send cacert.pem to anyone who is going to use your secure servers, so they can install it in their browsers, mail clients, et cetera as a root certificate.
Наличие в конфиге апача строчки:
SSLCACertificateFile  /path/to/ca.crt позволит ему (апачу) самостоятельно раздавать эти сертификаты клиентам. Их браузеры ругнутся только один раз при первом коннекте, предложат установить этот самый сертификат, скачают при утвердительном ответе и установят автоматически без всяких ручных рассылок.

Cообщить модератору | Наверх | ^

2. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от AlexF (??) on 03-Ноя-05, 18:45

Может и с некоторыми браузерами такой номер пройдет, но без рассылки и установки клиентами root-сетрификата не обойтись, если SSL используется например для почты - клиенты гарантированно будут ругаться при каждом обмене почты.

Cообщить модератору | Наверх | ^

4. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от wulf on 03-Ноя-05, 20:40

Согласен, моя неправда про сервисы, отличные от http. Просто прочитал заголовок и подумал "Неужели кто-то придумал способ обмануть эти самые браузеры и обходится без занятия по пересылке денег и копий документов в какую-нибудь Thawte?" Ан нет, ничего в мире не изменилось. Не хочешь платить - раздавай сертификаты собственноручно. :-(

Cообщить модератору | Наверх | ^

8. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от Anon on 04-Ноя-05, 05:54

А это уже принципы отношений к CA, заложеные в PKI - доверяю только тем, кому доверяю.Не стану доверять компании, выдавающей ключи для генерации банковских электронных подписей лишь по заполнении неких вёб форм. Мне нужно, чтоб этот CA реально знал, что каждый ключ, им выданый, стоял за реальной организацией, со своими документами и обязяностями, которые они выполнят, электронно подписав документ. Верисигн и фафте этот авторитет зарабатывали перед тем, как буть включёнными в рут CA мелкософта и пр.
Ну да Вы знаете, просто напомнить =)

Cообщить модератору | Наверх | ^

12. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от Wulf on 04-Ноя-05, 14:08

В банковских делах - там все немного сложнее, там кроме ключа, идентифицирующего банк, еще надо создать и передать ключ, идентифицирующий  клиента. Но я имел ввиду другое. Часто возникает ситуация, когда достаточно только зашифровать передачу, а подлинность проверять не так важно ввиду несоответствия трудозатрат на организацию поддельного сервера с важностью полученной информации. Как пример, могу привести сервер dialup-статистики. Тут и выясняется, что поднять шифрованое соединение без подозрений браузера на то, что ваш собственный сервер поддельный или оплаты денег забугор, невозможно.

Cообщить модератору | Наверх | ^

14. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от Александр (??) on 07-Ноя-05, 14:40

>Наличие в конфиге апача строчки:
>SSLCACertificateFile  /path/to/ca.crt позволит ему (апачу) самостоятельно
>раздавать эти сертификаты клиентам.
помнится, эта опция предназначена совсем для другой цели - для хранения CA сертификатов клиентов,
например при организации аутентификации клиентов на стороне сервера по их сертификатам
т.е. клиент получает личный сертификат, устанавливает его в свой браузер,
а на сервер передается доверенный CA сертификат
достаточно подробно все это описано в http://www.opennet.me/base/sec/ssl_cert.txt.html

Cообщить модератору | Наверх | ^

15. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от Wulf on 07-Ноя-05, 16:04

> помнится, эта опция предназначена совсем для другой цели - для хранения CA сертификатов клиентов,
> например при организации аутентификации клиентов на стороне сервера по их сертификатам
> т.е. клиент получает личный сертификат, устанавливает его в свой браузер,
> а на сервер передается доверенный CA сертификат
> достаточно подробно все это описано в http://www.opennet.me/base/sec/ssl_cert.txt.html
Эта опция предназначена просто для хранения CA сертификатов. Вы можете подписать одним собственным CA сертификационные запросы как сервера, так и клиентов. В этом случае (ну и при наличии SSLCACertificateFile /path/to/ca.crt), Вам не нужно будет для каждого клиента передавать CA сертификат на сервер (он там уже будет сразу) и, так-же заботится об ругани браузера при повторном заходе на страницу, т.к. во время первого захода браузер получит возможность скачать CA-сертификат

Cообщить модератору | Наверх | ^

16. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от Александр (??) on 08-Ноя-05, 07:24

ради интереса проверил все заново
эта штука проходит только в opera, действительно загружается нужный корневой сертификат и в дальнейшем никаких предупреждений не выдается (если специально об этом не просить:)
ie и firefox на это дело никак не реагируют, в них можно загрузить только сертификат сервера, который firefox в дальнейшем принимает без вопросов
а ie все равно выдает предупреждение

Cообщить модератору | Наверх | ^

17. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от Wulf on 08-Ноя-05, 11:05

> а ie все равно выдает предупреждение
В IE необходимо: Просмотр сертификата -> Путь сертификации, выбрать корневой сертификат в дереве -> Просмотр сертификата -> Установить сертификат. Далее везде выбирать "Авто". Хотя, при каких-то условиях, он может быть установлен и просто с помощью "Просмотр сертификата -> Установить сертификат", но при каких (или нужна ОС младше XP, или еще что-то), сейчас уже не вспомню. Давно было дело.

Cообщить модератору | Наверх | ^

3. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от odip on 03-Ноя-05, 19:00

Глупости какие - что же они все руками делают-то ?
Берется CA.pl из openssl.
Например в FreeBSD 5.x - /usr/src/crypto/openssl/apps/CA.pl
Файл openssl.cnf правится под себя
- и клепай себе сертификаты.

Cообщить модератору | Наверх | ^

9. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от alexbfd on 04-Ноя-05, 07:45

А в чем прикол, я не понял, уже не прикольно делать самоподписанные, уже давненько как работает http://www.cacert.org/, чем он то не устраивает????
все бесплатно

Cообщить модератору | Наверх | ^

10. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от odip on 04-Ноя-05, 07:52

>А в чем прикол, я не понял, уже не прикольно делать самоподписанные,
>уже давненько как работает http://www.cacert.org/, чем он то не устраивает????
>все бесплатно
1) Незнание про него
2) Свой интереснее ;)

Cообщить модератору | Наверх | ^

11. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от odip on 04-Ноя-05, 07:56

Сертификат от www.cacert.org уже включен в IE,Mozilla,Firefox,Windows ?
Вроде нет - тогда он пока ничем не лучше чем свой CA !

Cообщить модератору | Наверх | ^

13. "Создание собственноручно подписанных сертификатов в OpenSSL"

Сообщение от fi on 07-Ноя-05, 12:10

Да, статья правильная. Только такой связный сертификат работает для всех браузеров. Можно даже делать *.domainname.
В этом смысле CA.pl делает не правильный сертификат, но это и понятно, так задумано.
cacert.org конечно хорошо, но иногда проще всем клиентам свой CA root поставить, а потом кормить их уже разными сервисами. Но самый вариант - подписать свой CA root сертификат через cacert.org.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Создание собственноручно подписанных сертификатов в OpenSSL"
Сообщение от Wulf on 03-Ноя-05, 18:20
Ключевая фраза во всем повествовании отражает его бессмысленность: Send cacert.pem to anyone who is going to use your secure servers, so they can install it in their browsers, mail clients, et cetera as a root certificate. Наличие в конфиге апача строчки: SSLCACertificateFile /path/to/ca.crt позволит ему (апачу) самостоятельно раздавать эти сертификаты клиентам. Их браузеры ругнутся только один раз при первом коннекте, предложат установить этот самый сертификат, скачают при утвердительном ответе и установят автоматически без всяких ручных рассылок.
Cообщить модератору \| Наверх \| ^


	2. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от AlexF (??) on 03-Ноя-05, 18:45
	Может и с некоторыми браузерами такой номер пройдет, но без рассылки и установки клиентами root-сетрификата не обойтись, если SSL используется например для почты - клиенты гарантированно будут ругаться при каждом обмене почты.
	Cообщить модератору \| Наверх \| ^


	4. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от wulf on 03-Ноя-05, 20:40
	Согласен, моя неправда про сервисы, отличные от http. Просто прочитал заголовок и подумал "Неужели кто-то придумал способ обмануть эти самые браузеры и обходится без занятия по пересылке денег и копий документов в какую-нибудь Thawte?" Ан нет, ничего в мире не изменилось. Не хочешь платить - раздавай сертификаты собственноручно. :-(
	Cообщить модератору \| Наверх \| ^


	8. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от Anon on 04-Ноя-05, 05:54
	А это уже принципы отношений к CA, заложеные в PKI - доверяю только тем, кому доверяю.Не стану доверять компании, выдавающей ключи для генерации банковских электронных подписей лишь по заполнении неких вёб форм. Мне нужно, чтоб этот CA реально знал, что каждый ключ, им выданый, стоял за реальной организацией, со своими документами и обязяностями, которые они выполнят, электронно подписав документ. Верисигн и фафте этот авторитет зарабатывали перед тем, как буть включёнными в рут CA мелкософта и пр. Ну да Вы знаете, просто напомнить =)
	Cообщить модератору \| Наверх \| ^


	12. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от Wulf on 04-Ноя-05, 14:08
	В банковских делах - там все немного сложнее, там кроме ключа, идентифицирующего банк, еще надо создать и передать ключ, идентифицирующий клиента. Но я имел ввиду другое. Часто возникает ситуация, когда достаточно только зашифровать передачу, а подлинность проверять не так важно ввиду несоответствия трудозатрат на организацию поддельного сервера с важностью полученной информации. Как пример, могу привести сервер dialup-статистики. Тут и выясняется, что поднять шифрованое соединение без подозрений браузера на то, что ваш собственный сервер поддельный или оплаты денег забугор, невозможно.
	Cообщить модератору \| Наверх \| ^


	14. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от Александр (??) on 07-Ноя-05, 14:40
	>Наличие в конфиге апача строчки: >SSLCACertificateFile /path/to/ca.crt позволит ему (апачу) самостоятельно >раздавать эти сертификаты клиентам. помнится, эта опция предназначена совсем для другой цели - для хранения CA сертификатов клиентов, например при организации аутентификации клиентов на стороне сервера по их сертификатам т.е. клиент получает личный сертификат, устанавливает его в свой браузер, а на сервер передается доверенный CA сертификат достаточно подробно все это описано в http://www.opennet.me/base/sec/ssl_cert.txt.html
	Cообщить модератору \| Наверх \| ^


	15. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от Wulf on 07-Ноя-05, 16:04
	> помнится, эта опция предназначена совсем для другой цели - для хранения CA сертификатов клиентов, > например при организации аутентификации клиентов на стороне сервера по их сертификатам > т.е. клиент получает личный сертификат, устанавливает его в свой браузер, > а на сервер передается доверенный CA сертификат > достаточно подробно все это описано в http://www.opennet.me/base/sec/ssl_cert.txt.html Эта опция предназначена просто для хранения CA сертификатов. Вы можете подписать одним собственным CA сертификационные запросы как сервера, так и клиентов. В этом случае (ну и при наличии SSLCACertificateFile /path/to/ca.crt), Вам не нужно будет для каждого клиента передавать CA сертификат на сервер (он там уже будет сразу) и, так-же заботится об ругани браузера при повторном заходе на страницу, т.к. во время первого захода браузер получит возможность скачать CA-сертификат
	Cообщить модератору \| Наверх \| ^


	16. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от Александр (??) on 08-Ноя-05, 07:24
	ради интереса проверил все заново эта штука проходит только в opera, действительно загружается нужный корневой сертификат и в дальнейшем никаких предупреждений не выдается (если специально об этом не просить:) ie и firefox на это дело никак не реагируют, в них можно загрузить только сертификат сервера, который firefox в дальнейшем принимает без вопросов а ie все равно выдает предупреждение
	Cообщить модератору \| Наверх \| ^


	17. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от Wulf on 08-Ноя-05, 11:05
	> а ie все равно выдает предупреждение В IE необходимо: Просмотр сертификата -> Путь сертификации, выбрать корневой сертификат в дереве -> Просмотр сертификата -> Установить сертификат. Далее везде выбирать "Авто". Хотя, при каких-то условиях, он может быть установлен и просто с помощью "Просмотр сертификата -> Установить сертификат", но при каких (или нужна ОС младше XP, или еще что-то), сейчас уже не вспомню. Давно было дело.
	Cообщить модератору \| Наверх \| ^

3. "Создание собственноручно подписанных сертификатов в OpenSSL"
Сообщение от odip on 03-Ноя-05, 19:00
Глупости какие - что же они все руками делают-то ? Берется CA.pl из openssl. Например в FreeBSD 5.x - /usr/src/crypto/openssl/apps/CA.pl Файл openssl.cnf правится под себя - и клепай себе сертификаты.
Cообщить модератору \| Наверх \| ^

9. "Создание собственноручно подписанных сертификатов в OpenSSL"
Сообщение от alexbfd on 04-Ноя-05, 07:45
А в чем прикол, я не понял, уже не прикольно делать самоподписанные, уже давненько как работает http://www.cacert.org/, чем он то не устраивает???? все бесплатно
Cообщить модератору \| Наверх \| ^


	10. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от odip on 04-Ноя-05, 07:52
	>А в чем прикол, я не понял, уже не прикольно делать самоподписанные, >уже давненько как работает http://www.cacert.org/, чем он то не устраивает???? >все бесплатно 1) Незнание про него 2) Свой интереснее ;)
	Cообщить модератору \| Наверх \| ^


	11. "Создание собственноручно подписанных сертификатов в OpenSSL"
	Сообщение от odip on 04-Ноя-05, 07:56
	Сертификат от www.cacert.org уже включен в IE,Mozilla,Firefox,Windows ? Вроде нет - тогда он пока ничем не лучше чем свой CA !
	Cообщить модератору \| Наверх \| ^

13. "Создание собственноручно подписанных сертификатов в OpenSSL"
Сообщение от fi on 07-Ноя-05, 12:10
Да, статья правильная. Только такой связный сертификат работает для всех браузеров. Можно даже делать *.domainname. В этом смысле CA.pl делает не правильный сертификат, но это и понятно, так задумано. cacert.org конечно хорошо, но иногда проще всем клиентам свой CA root поставить, а потом кормить их уже разными сервисами. Но самый вариант - подписать свой CA root сертификат через cacert.org.
Cообщить модератору \| Наверх \| ^