On 2008.05.21 at 03:11:55 +0600, apm wrote: > Nicholas пишет: > >https://www.openca.org/ > > openca выглядит вполне прилично. > Странно что не включено в репы дебиана. > > Никто не собирал?
Плавали, знаем. Это не монстр, это МО-О-ОНСТР. Это решение для национального удостоверяющего центра (и в некоторых европейских странах именно так и используется). Ставить openca для управления сертификатами в корпоративном OpenVPN все равно что ставить Oracle +SAP для ведения домашней бухгалтерии. Нет, конечно, если ваша фирма называется Газпром или там Nokia, то для её размеров openca - в самый раз. > Я как раз мучаюсь проблемой как отдать управление сертификатами openvpn > менеджеру через web interface, что б меня не дергали ключи генерить. Э, тут надо разобраться сначала самому, что должен делать пользователь, что менеджер, и при каких обстоятельствах ключи ни за что не должны покидать машину, на которой сгенерены. Потом объяснить это менеджеру. Вообще легкие варианты на тему CA существуют - tinyca, pyca. Но все они в основном рассчитаны на менеджмент клиентских сертификатов для HTTPS, т.е. на то, что ключ генерится браузером. В принципе, можно, конечно пойти и по этому пути - ключ генерируется браузером, заявка уходит через web в CA, генерируется сертификат, устанавливается в браузер (благо в браузере это просто, и любому самому тупому юзеру понятно) Потом из браузера ключ с сертификатом экспортируются в PKCS#12. А уже PKCS#12 потом втаскивается в openvpn. Благо это очень просто делается одной командой openssl pkcs12. Аналогичный способ работы с сертификатами подписи E-Mail реализован в mutt (в смысле - дебиановском пакете mutt). Ничего, работает -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]