[sisyphus] alterator-ca - откуда брать csr

Андрей Черепанов cas на altlinux.ru
Чт Июн 18 12:17:00 MSD 2009


17 июня 2009 Dmitriy Kruglikov написал:
> 17 июня 2009 г. 17:19 пользователь Андрей Черепанов  написал:
> > Есть два usecase'а:
>
> Как много  usecase'ов ты пропустил ...
> Точнее, привел только один реальный пример ...
> У нас достаточно сервисов, которым ключик то же неужен ...
> Apache, Postfix, Jabber, Cyrus-IMAP, LDAP ...
Это реализовано в alterator-ca в "локальных сертификатах". Правда, нужно ждать 
дух часов ночи по умолчанию. Но это работает. Важно лишь проанонсировать эту 
службу. Подробнее тебе raorn@ ответит.

>  Собственно, никто и не говоил, что для левых задач нужно делать модуль в
>
> > alterator.
>
> Если их считать левыми, то конечно ...
> А если строить СА только ради одного сервиса, то туда, к нему,
> и поместить управление (его персональным) СА,
> и спрятать от народа, а не смущать умы ...
>
> Потому как имеет ненулевую вероятность ситуация, когда OpenVPN не нужен,
> а вот СА - таки да ...
Я лишь показал на примере множественности ключей для VPN. Более того, ключи 
пользователей могут (и должны) генериться на клиентских машинах. В вот службы 
имеют по одному ключу и вписываются в парадигму локальных сертификатов.

-- 
Андрей Черепанов
ALT Linux
cas на altlinux.ru


Подробная информация о списке рассылки Sisyphus