Nicholas_M Posted February 11, 2007 Posted February 11, 2007 Задумался над тем как правильно сделать собственный CA сертификат и сертификаты сервисов (сайта, почты...) Основной вопрос - броузер ругается на то, что сертификат подписан сам собой. Возник вопрос: Правильно ли сделать "двухуровневую модель" - корневой сертификат в одном домене, второй серификат подписанный первым в другом домене и сертификаты сервисов подписывать уже вторым ? Или я перемудрил ? Вставить ник Quote
puh Posted February 11, 2007 Posted February 11, 2007 чтоб браузер не ругался на сертификат сайта, сертификат подписавшего его CA должен зашит в браузер. То есть ты либо делаешь свой CA (его сертификат обязан быть self-signed) и инсталлируешь этот сертификат в браузеры всех пользователей (вполне нормально, если это - внутрикорпоративное применение), либо башляешь публичным CA Вставить ник Quote
vop Posted February 13, 2007 Posted February 13, 2007 (edited) 1. Делаешь свой корневой сертификат. 2. Предлагаешь клиентам загрузить в репозитарий броузера корневой сертификат. 3. Подписываешь корневым сертификатом все остальные сертификаты на свои сайты (что предотвратит все дальнейшие вопросы со стороны броузера). .... далее необязательный, но весьма неплохой пункт.... 4. Выпускаешь под каждый договор каждому клиенту именной сертификат, подписываешь его опят-таки корневым сертиикатом, и делаешь ресурс, где клиент управляет набором своих услуг самостоятельно. Edited February 13, 2007 by vop Вставить ник Quote
Nicholas_M Posted February 14, 2007 Author Posted February 14, 2007 (edited) Спасибо, но честно говоря, простой вариант и так понятен. Вопрос про сложный - если я хочу сделать специализарованный ресурс (вроде cacert.org) и во всех других своих проектах использовать его. В этой ситуации корневой ключ и его сертификат будут иметь уникальный домен. Другие ключи (их сертификаты) будут подписанны первым и далее по цепочке. Вопросы: Какую инфраструктуру надо создать. Надо ли создать сайт с первым сертификатом (может это rfc-шкой какой регламентируется ?). Надо ли выдавать клиенту все промежуточные сертификаты если цепочка длинная и если да, то как это лучше сделать. Может есть какая специализарованная дока по созданию "центра сертификации" ? (На Opennet такой не найденно) С уважением. Николай. Edited February 14, 2007 by Nicholas_M Вставить ник Quote
user_anonymous Posted February 14, 2007 Posted February 14, 2007 Мне кажется, что вы можете воспользоваться услугами коммерческих сертификаторов и тем разрешить ваши проблемы. Вставить ник Quote
GateKeeper Posted February 14, 2007 Posted February 14, 2007 http://www.opennet.ru/base/sec/openssl_howto.txt.html http://www.opennet.ru/opennews/art.shtml?num=6372 ну и вообще: http://www.opennet.ru/search.shtml?exclude...p;words=openssl плохо искали Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.