[Comm] Q: openssl и сертификаты - теория vs. практика

[Andrej Savelov]

Приветствую!

On Friday 24 December 2004 15:05, Alexey I. Froloff wrote:
>
> 1. Нужно ли что-нибудь курочить в /etc/openssl/openssl.conf и как
> кошерней это сделать?

Можно раскомментировать 
subjectAltName=email:move 
Некоторые софтины (kmail в частности) хотят видеть мейл в AltName.

> 2. Чем пользоваться для создания CA и сертификатов?  Makefile из
> /var/lib/ssl/certs/ или CA.pl?

CA.pl. Он делает всё, что нужно. Единственно, по умолчанию, он ставит срок 
годности сертификатов один год, что нормально для конечных сертификатов, но 
не годится для корневого. Я его сразу подредактировал в районе  -newca ... , 
поставил вместо $DAYS конкретно -days 3650.
Приватный ключ демона не должен быть зашифрован, так что генерить его надо 
./CA.pl -newreq-nodes

Я отдельным серверам SSL не прикручивал, мне показалось удобнее поднять один 
stunnel на все случаи жизни. Но, поскольку все они пользуются openssl, то и 
конфигурируются схожим образом.

Удачи!
А.С.