[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: LDAP



В Wed, 18 Apr 2018 23:09:45 +0300
Artem Chuprina <ran@lasgalen.net> пишет:

> artiom -> debian-russian@lists.debian.org  @ Wed, 18 Apr 2018
> 22:46:27 +0300:
> 
>  > Собственный CA имеет смысл, вроде.
>  > Вопрос только в том, насколько сложно (LDAP тоже казался простым,
>  > но свои особенности у каждого сервиса сожрали уйму времени)?  
> 
> В свое время в сети гуглился документ SSL Certificates Howto. Там было
> довольно грамотно расписано.

Устарело оно лет на двадцать. Осталось на уровне X509v1.
 
> Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN
> пользоваться.  Это сделанный по тому рецепту комплект скриптов для
> своего CA.

Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30
пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов.

Возникла необходимость поднять парочку Name-based https-хостов на одной
машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa.
Вообще никаких extension не умеет.
 
> Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание
> устройства PKI по схеме X509 (в PGP, например, схема другая). В
> упомянутом Howto изложение, помнится, было.

Ага было. На уровне  RFC 2459, принятого в прошлом веке.
А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и
то с оглядкой на 6818.

Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом
современных реалий. Чтобы и X509v3 умело, и эллиптические кривые
понимало, причем не только в виде ECDSA.

А Шаплова заставим новый Certificates HOWTO написать.
-- 
                                   Victor Wagner <vitus@wagner.pp.ru>


Reply to: