Re: The certificate is not trusted because it is self signed.
Nicholas -> debian-russian@lists.debian.org @ Sun, 14 Sep 2008 13:37:28 -0400:
>> Сертификат сервера можно подписывать сертификатом CA. Более длинную
>> цепочку для себя делать не имеет смысла.
>>
>> Из разных доменов они быть не обязаны, но вообще в сертификате CA домену
>> делать нечего - CA, в отличие от веб-сервера, сущность не доменная.
>>
N> Под доменом имелся ввиду "common name", т.к. было замеченно, что если CN
N> отличается от домена, то postfix+thunderbird не работает - то есть это вроде
N> уже как требование получается (?), но доки в которой это заявлялось официально
N> не нашел и с apache не тестировал.
N> Поэтому возник вопрос - у CA и сертификатов серверов должны быть разные CN
N> (что бы небыло ругани) ?
N> Но в целом идея понятна.
N> Спасибо.
У разных сертификатов настоятельно рекомендуется иметь разные DN. Но
технически ничто не мешает иметь и одинаковый.
Да, по традиции в CN интернет-серверов пишут имя хоста, и клиент его
проверяет (на предмет "а с тем ли мы сервером соединились, который
просил клиент?"). Непроверка этого совпадения - security hole.
Но на CA, который ни разу не интернет-сервер, это требование не
распространяется.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Parentheses? What parentheses? I haven't noticed any parentheses
since my first month of Lisp programming. I like to ask people who
complain about parentheses in Lisp if they are bothered by all the
spaces between words in a newspaper...
-- Kenny Tilton
Reply to: