Re: Сертификаты OpenVPN

To: debian-russian@lists.debian.org
Subject: Re: Сертификаты OpenVPN
From: Artem Chuprina <ran@ran.pp.ru>
Date: Mon, 08 Oct 2007 23:43:17 +0400
Message-id: <[🔎] 30619914@wizzle.ran.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 200710082259.44482.pechnikov@sandy.ru> (Alexey Pechnikov's message of "Mon\, 8 Oct 2007 22\:59\:44 +0400")
References: <[🔎] 200710081852.16531.pechnikov@sandy.ru> <[🔎] 200710081940.27002.pechnikov@sandy.ru> <[🔎] 20071008162700.GB24550@wagner.pp.ru> <[🔎] 200710082259.44482.pechnikov@sandy.ru>

Alexey Pechnikov -> debian-russian@lists.debian.org  @ Mon, 8 Oct 2007 22:59:44 +0400:

 >> Чушь городишь. Совершенно необязательно производить проверку статуса
 >> сертификата OnLine. Хотя полезно - вдруг у клиента уже стырили его
 >> секретрый ключ и он успел уведомить о том центр сертификации, чтобы
 >> ключ отозвали.

 AP> Никого он уведомлять не будет, просто позвонит мне. Соответственно,
 AP> я должен на уровне сервера OpenVPN мгновенно заблокировать доступ
 AP> этого клиента.

Мгновенно у тебя в любом случае не получится.  Время реакции
человеческого мозга на сказанную фразу существенно ненулевое.

openssl ca -gencrl -revoke путь_к_его_сертификату -out ca.crl && scp
ca.crl openvpn_server:/etc/openvpn/

 >> > Отечественные центры и того хуже - в каждом регионе свой центр
 >> > сертификации, а если мне надо работать с клиентами из разных регионов,
 >> > что же,
 >>
 >> Ты заведи свой центр сертификации. Который будет удостоверять
 >> исключительно твоих клиентов. Тут варианта два - либо не предполагается
 >> оспаривание в суде ошибок аутентификации и авторизации, тогда вообще
 >> никого не волнует юридический статус оного центра, либо предполагается.
 >> Тогда необходимо чтобы с каждым клиентом имелся подписанный контракт в
 >> котором (или в прилагаемых технических условиях) написано, что стороны
 >> соглашаются признавать электронную подпись сгенерированную таким-то
 >> софтом и, в частности, подпись вот этого центра сертификации.
 >>
 >> У нас до сих пор все реальные сети обмена данными, использующие
 >> электронную подпись, работают именно так.

 AP> Если центр сертификации не зарегистрирован как таковой, то любое
 AP> соглашение, подразумевающее это, не имеет юридической силы. Или
 AP> получать лицензию на работу в качестве федерального центра
 AP> сертификации, или получать сертификат в федеральном центре. В любом
 AP> случае более чем в одном регионе работать не удастся.

... спорить о вкусе устриц с теми, кто их ел...

-- 
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru

Творить - не делать! (c)Элхэ Ниеннах

Reply to:

Follow-Ups:
- Re: Сертификаты OpenVPN
  - From: Alexey Pechnikov <pechnikov@sandy.ru>

References:
- Сертификаты OpenVPN
  - From: Alexey Pechnikov <pechnikov@sandy.ru>
- Re: Сертификаты OpenVPN
  - From: Alexey Pechnikov <pechnikov@sandy.ru>
- Re: Сертификаты OpenVPN
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: Сертификаты OpenVPN
  - From: Alexey Pechnikov <pechnikov@sandy.ru>

Prev by Date: Re: Etch Apache2 + mod_fcgid-2.2 + php5-fcgi
Next by Date: Re: Странности с USB Ethernet TrendNet TU2-ET100
Previous by thread: Re: Сертификаты OpenVPN
Next by thread: Re: Сертификаты OpenVPN
Index(es):
- Date
- Thread