Re: PKI self-service

To: debian-russian@lists.debian.org
Subject: Re: PKI self-service
From: Eugene Berdnikov <bd4@protva.ru>
Date: Wed, 14 Sep 2016 12:57:55 +0300
Message-id: <[🔎] 20160914095755.GF23474@cio.protva.ru>
In-reply-to: <[🔎] CACz2Q8G6xGQG_CPR88Y_LXiNsTc72pF0_fC7vjtp1Z3Lo0vsNQ@mail.gmail.com>
References: <[🔎] CACz2Q8G6xGQG_CPR88Y_LXiNsTc72pF0_fC7vjtp1Z3Lo0vsNQ@mail.gmail.com>

On Wed, Sep 14, 2016 at 11:55:21AM +0300, Bogdan wrote:
> Ищу решение для самообслуживания: нужно дать возможность авторизованным
> пользователям выпускать клиентские сертификаты и автоматически подписывать
> их специальным отдельным CA-ключем.

 "Автоматически подписывать их специальным отдельным CA-ключем" означает,
 что это ключ должен быть нешифрован и находиться в сетевом доступе.

> Авторизация пользователей - во LDAP. Очень желательно иметь автоматическое
> управление CRL/OCSP (пользователь пропал из LDAP - все его сертификаты
> автоматически отзываются)

 И для этой задачи нужно держать нешифрованный ключ CA в сетевом доступе.

> Как такой тип ПО вообще правильно называется, задача очевидная и должна
> иметь ряд решений, но не могу задать правильный вопрос гуглу.

 Правильный ответ: openssl и руки. В модуле "ca" есть вполне рабочий набор
 функционала для массовой (поточной) обработки, который можно вставить
 в полностью автоматизированную среду. Проверено, работает.
-- 
 Eugene Berdnikov

Reply to:

Follow-Ups:
- Re: PKI self-service
  - From: Victor Wagner <vitus@wagner.pp.ru>

References:
- PKI self-service
  - From: Bogdan <bogdar@gmail.com>

Prev by Date: Re: PKI self-service
Next by Date: Re: PKI self-service
Previous by thread: Re: PKI self-service
Next by thread: Re: PKI self-service
Index(es):
- Date
- Thread