Re: PKI self-service

To: debian-russian@lists.debian.org
Subject: Re: PKI self-service
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Wed, 14 Sep 2016 12:33:20 +0300
Message-id: <[🔎] 20160914123320.1b66ae00@fafnir.local.vm>
In-reply-to: <[🔎] CACz2Q8G6xGQG_CPR88Y_LXiNsTc72pF0_fC7vjtp1Z3Lo0vsNQ@mail.gmail.com>
References: <[🔎] CACz2Q8G6xGQG_CPR88Y_LXiNsTc72pF0_fC7vjtp1Z3Lo0vsNQ@mail.gmail.com>

On Wed, 14 Sep 2016 11:55:21 +0300
Bogdan <bogdar@gmail.com> wrote:

> Добрый день!
> 
> Ищу решение для самообслуживания: нужно дать возможность
> авторизованным пользователям выпускать клиентские сертификаты и
> автоматически подписывать их специальным отдельным CA-ключем.
> 
> Авторизация пользователей - во LDAP. Очень желательно иметь
> автоматическое управление CRL/OCSP (пользователь пропал из LDAP - все
> его сертификаты автоматически отзываются)
> 
> Как такой тип ПО вообще правильно называется, задача очевидная и
> должна иметь ряд решений, но не могу задать правильный вопрос гуглу.
> 
> Спасибо.
> 

Такой тип ПО называется "Удостоверяющий центр" или "Certification
authority". Вот только готовых тиражируемых решений для вот такого
(экстремально низкого) уровня безопасности, когда авторизованный
пользователь может сам себе без дополнительных проверок выписать
клиентский сертификат, я не знаю.

EasyRSA она все таки про случай, когда все сертификаты под контролем
одного системного администратора.

Так то в принципе оно за полдня пишется на базе утилиты openssl.
Только еще какой poll для ldap придется написать, чтобы отслеживать
изменения в ldap. И понадобится явно интерфейс для отзыва сертификата
авторизованным пользователем без удаления этого пользователя из ldap.
--

Reply to:

References:
- PKI self-service
  - From: Bogdan <bogdar@gmail.com>

Prev by Date: PKI self-service
Next by Date: Re: PKI self-service
Previous by thread: PKI self-service
Next by thread: Re: PKI self-service
Index(es):
- Date
- Thread