Re: LDAP
В Wed, 18 Apr 2018 23:09:45 +0300
Artem Chuprina <ran@lasgalen.net> пишет:
> artiom -> debian-russian@lists.debian.org @ Wed, 18 Apr 2018
> 22:46:27 +0300:
>
> > Собственный CA имеет смысл, вроде.
> > Вопрос только в том, насколько сложно (LDAP тоже казался простым,
> > но свои особенности у каждого сервиса сожрали уйму времени)?
>
> В свое время в сети гуглился документ SSL Certificates Howto. Там было
> довольно грамотно расписано.
Устарело оно лет на двадцать. Осталось на уровне X509v1.
> Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN
> пользоваться. Это сделанный по тому рецепту комплект скриптов для
> своего CA.
Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30
пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов.
Возникла необходимость поднять парочку Name-based https-хостов на одной
машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa.
Вообще никаких extension не умеет.
> Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание
> устройства PKI по схеме X509 (в PGP, например, схема другая). В
> упомянутом Howto изложение, помнится, было.
Ага было. На уровне RFC 2459, принятого в прошлом веке.
А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и
то с оглядкой на 6818.
Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом
современных реалий. Чтобы и X509v3 умело, и эллиптические кривые
понимало, причем не только в виде ECDSA.
А Шаплова заставим новый Certificates HOWTO написать.
--
Victor Wagner <vitus@wagner.pp.ru>
Reply to:
- Follow-Ups:
- Re: LDAP
- From: Artem Chuprina <ran@lasgalen.net>
- References:
- LDAP
- From: Артём Н. <artiom14@yandex.ru>
- Re: LDAP
- From: Коротаев Руслан <subscribe@mail.kr.pp.ru>
- Re: LDAP
- From: "D. H." <d.himro@yahoo.com>
- Re: LDAP
- From: artiom <artiom14@yandex.ru>
- Re: LDAP
- From: Artem Chuprina <ran@lasgalen.net>
- Re: LDAP
- From: artiom <artiom14@yandex.ru>
- Re: LDAP
- From: Artem Chuprina <ran@lasgalen.net>
- Re: LDAP
- From: artiom <artiom14@yandex.ru>
- Re: LDAP
- From: Artem Chuprina <ran@lasgalen.net>