[sisyphus] alterator-ca - откуда брать csr

[Андрей Черепанов]

16 июня 2009 Dmitriy Kruglikov написал:
> 16 июня 2009 г. 16:08 пользователь Андрей Черепанов  написал:
> > Так он и выпускает, как положено. Вот ключи не создаёт. Так и не должен
> > по соображениям безопасности.
>
> А можно их озвучить (соображения) в письменном виде ?
>
> А то как-то непонятно ...
> Пароли в открытом виде хранить можно,
> а ключик сгенерить и положить в нужное мето - нет ...
> А если я тот же ключик сгенерю через ...,
> а потом положу в то же место, так это секьюрнее ?
> И для того, чтобы ключик сгенерить, мне еще кучу ненужного софта поставить
> ?
>
> Не, чет это не похоже на правильное решение ...
Есть два usecase'а:
1. Нужен ключ для доступа через VPN. Он создаётся в OpenVPN-соединения и там 
же можно скачать csr. Через модуль alterator-ca выписываем сертификат и 
скачиваем сертификат самого CA. Сертификаты скармливаем модулю OpenVPN-
соединения. Ключи и сертификаты на месте и готовы к работе к VPN-сервером, 
который по той же схеме подписывается в том же CA. Ничего ставить не нужно - 
ключи генерируются прозрачно. Таким образом, всё, что нужно, идёт в модулях 
alterator.

2. По какой-то причине нужно подписать ключ для чего-то. Тогда ставим tinyca и 
начинаем извращения. Собственно, никто и не говоил, что для левых задач нужно 
делать модуль в alterator.

-- 
Андрей Черепанов
ALT Linux
cas на altlinux.ru