[devel] I: TLS/SSL policy - broken packages
Vladimir V. Kamarzin
=?iso-8859-1?q?vvk_=CE=C1_altlinux=2Eru?=
Пт Фев 9 12:15:23 MSK 2007
>>>>> On 09 Feb 2007 at 13:41 "MY" == Mikhail Yakshin writes:
>> MY> unreal - несет в себе некий серверный самоподписанный сертификат с
>> MY> такими параметрами:
>> Это сертификат, используемый для линковки серверов и для secure-соединений
>> клиентов.
MY> Он точно не специфичен для какой-нибудь сети там, нет? Я плохо
MY> представляю, может быть у IRC-серверов какая-то своя CA есть и,
MY> соответственно, там должны поставлять какие-то особые сертификаты? Если
MY> нет - тогда можно просто сгенерировать свежий.
Ничего специфичного там нет. :)
>> Предполагалось, что администратор сервера должен вместо него
>> положить свой сертификат. А дефолтный действительно лучше заменить на
>> какой-нибудь более подходящий, только не знаю как лучше сделать.
MY> Ok, сейчас решим, не будет ли у нас единого способа генерации таких
MY> тестовых сертификатов, и если будет - то все, возможно, заменится на
MY> один макрос.
Отлично.
>> MY> freeradius - практически тот же вопрос, что и про MySQL. Пакет несет у
>> MY> себя внутри примеры сертификатов и CA, но после прочтения
>> MY> /etc/raddb/certs/README возникает вопрос - что будет, если положить ему
>> MY> просто один сертификат, подписанный тем CA, что указан у нас в bundle?
>> MY> Подхватится ли?
>>
>> Да, скорее всего подхватится.
MY> =) На этот вопрос надо однозначно, т.е. либо посмотреть в код, либо
MY> проверить.
Положить "просто один сертификат" недостаточно, для конфигурирования EAP-TLS
нужно подсовывать private_key_file (опционально указав в конфиге
private_key_password), собственно сертификат, CA_file и dh_file. Пути к этим
файлам настраиваются в конфиге, т.е. CA можно подсунуть какой нам надо.
См. raddb/eap.conf, src/modules/rlm_eap/types/rlm_eap_tls/rlm_eap_tls.c
--
vvk
Подробная информация о списке рассылки Devel