Re: LDAP

[Artem Chuprina <ran@lasgalen.net>]

Victor Wagner -> debian-russian@lists.debian.org  @ Thu, 19 Apr 2018 07:03:06 +0300:

 >>  > Собственный CA имеет смысл, вроде.
 >>  > Вопрос только в том, насколько сложно (LDAP тоже казался простым,
 >>  > но свои особенности у каждого сервиса сожрали уйму времени)?  
 >> 
 >> В свое время в сети гуглился документ SSL Certificates Howto. Там было
 >> довольно грамотно расписано.

 > Устарело оно лет на двадцать. Осталось на уровне X509v1.
 >  
 >> Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN
 >> пользоваться.  Это сделанный по тому рецепту комплект скриптов для
 >> своего CA.

 > Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30
 > пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов.

 > Возникла необходимость поднять парочку Name-based https-хостов на одной
 > машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa.
 > Вообще никаких extension не умеет.
 >  
 >> Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание
 >> устройства PKI по схеме X509 (в PGP, например, схема другая). В
 >> упомянутом Howto изложение, помнится, было.

 > Ага было. На уровне  RFC 2459, принятого в прошлом веке.
 > А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и
 > то с оглядкой на 6818.

 > Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом
 > современных реалий. Чтобы и X509v3 умело, и эллиптические кривые
 > понимало, причем не только в виде ECDSA.

 > А Шаплова заставим новый Certificates HOWTO написать.

Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем
добавить туда новые возможности, не потеряв в простоте применения для
простых случаев?

И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще
чем у каждого второго асимметричный алгоритм "может быть любым, если это
RSA". И генерировать сертификат на эллиптических кривых - нарываться на
то, что смартфонное приложение этого не поймет.