[Comm] TLS

Yuri Rychkov =?iso-8859-1?q?rychkov_=CE=C1_protei=2Eru?=
Чт Дек 26 10:39:46 MSK 2002 

> >>Понадобилось перейти с smtp на smtps и вдруг (?! ;) выя
> >>снилось,
> >>что необходим сервервер сертификатов. Откуда начинать изучать
> >>матчасть?
> >
> > с доки по OpenSSL
>
> А переведенного руководства нигде не лежит?

Особо не искал, но когда понадобилось генерировать сертификаты
X.509v3
(правда для Apache mod_ssl но это сильно сути не меняет)
почитал доку и забацал несколько простеньких скриптиков и
кофигурашек.

ca.conf - конфиг для генерации CA сертификата
crl.conf - конфиг для генерации CRL к CA сертификату
server.conf - конфиг для генерации запроса сервера на
сертификацию
ssrv.conf - используется при подписи запроса сервера на
сертификацию с помощью CA сертификата
suser.conf - используется при подписи запроса пользователя на
сертификацию с помощью CA сертификата
user.conf  - конфиг для генерации запроса пользователя на
сертификацию
ca.db.serial - содержит следующий серийный номер подписываемого
сертификата
ca.db.index - список подписанных сертификатов
ca.db.certs - каталог с подписанными сертификатами
viewCSR.sh - просмотр запроса на сертификацию в текстовом виде
(параметр - файл с запросом *.csr)
viewKey.sh - просмотр ключа  в текстовом виде (параметр - файл с
ключом)
makeCA.sh - генерация CA сертификата
makeCRL.sh - генерация CRL для CA сертификата
makePKCS12.sh - преобразование сертификата в формат PKCS12
(параметры сертификат, выходной файл)
makeServerCSR.sh - генерация запроса сервера на сертификацию
makeUserCSR.sh - генерация запроса пользователя на сертификацию
revokeCRT.sh - скрипт для отзыва сертификата, подписанного данным
CA
signServerCRT.sh - скрипт для подписи запроса сервера на
сертификацию
signUserCRT.sh - скрипт для подписи запроса пользователя на
сертификацию
viewCRL.sh - просмотр CRL в текстовом виде
viewCRT.sh - просмотр сертификатов в текстовом виде

Предполагается, что в данной структуре сначала генерится CA
сертификат (один раз на всю оставшуюся жизнь :) )
а затем можно генерить всё остальное.

Позже я надеюсь причешу это получше, а пока так. Если что-то не
понятно пишите в мыло :)

Литература для доп чтения
X.500, X.509, (могу выслать)
rfc1421.txt, rfc1422.txt, rfc2459.txt, rfc3039.txt, rfc3280.txt
дока по OpenSSL

С уважением, Рычков Юрий
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : CertBase.tar.bz2
Тип     : application/octet-stream
Размер  : 2490 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20021226/5ede5a08/attachment-0002.obj>

Подробная информация о списке рассылки community