Dobry den, mate pravdu, ze kdyz ukonci zamestnanec pracovni pomer a ja nechci, aby pristupoval k systemum ve firme, neni prave fer, kdyz mu seberu obcanku (jeho osobni certifikat pro vseobecne pouziti). Na druhou stranu je v poradku, kdyz mu odeberu identifikacni kartu, kterou se prokazuje pri vstupu do budovy zamestnavatele (tj. jeho firemni certifikat).
Mel jsem dojem, ze se bavime prave o tom "firemnim" certifikatu, ktery mu vydala firemni certifikacni autorita... mp. -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Martin Kuba Sent: Thursday, May 04, 2006 3:45 PM To: Java Subject: Re: root certifikat Mno, oba pletete dohromady autentizaci s autorizaci. Autentizace zjisti, kdo to je, a autorizace, zda neco muze delat. Sebrat uzivateli certifikat, aby nekam nemohl, je nevhodne spojovani autentizace s autorizaci. Ten uzivatel se certifikatem muze porad prokazovat, dokud je to on, ale autorizace by nemela dovolit, aby neco delal. Z realneho sveta - obcansky prukaz je autentizacni vec, kdyz mi jej nekdo ukaze, tak vim, kdo to je. Ale jeste nevim jestli je to padouch nebo hrdina, tj. autorizacni informaci, a jestli mu muzu pujcit svoji kolobezku nebo mercedes. Sebrat nekomu obcanku, kdyz je to padouch, je nemistne. Proto jim ani neberte certifikaty. Makub Michal Palička wrote: > Dobry den, > > domnivam se, ze na reseni vami popsane situace slouzi tzv. Certificate > Revocation List (CRL). > > Rekl bych, ze to, co navrhujete/popisujete, jde trochu proti podstate > fungovani certifikatu a jejich hierarchii. > > Btw. toho admina bych nechal jeste zit... :-) > > mp. > > > -----Original Message----- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] > On Behalf Of Oto 'tapik' Buchta > Sent: Thursday, May 04, 2006 1:48 PM > To: Java > Subject: Re: root certifikat > > On Thursday 04 May 2006 12:28, Radovana Straube wrote: > >>Dobry den, >> >>zakaznik ma vlastny root certifikat a od neho ma odvodenych asi 50 SSL >>certifikatov pre dcerske spolocnosti. Admin samozrejme nema chut >>vsetkych 50 dcerskych certifikatov opatrovat v KeyStore a chcel by >>pouzivat iba svoj root certifikat. >>Vygooglovala som, ze v KeyStore musi byt vzdy pritomny originalny >>certifikat, root certifikat nestaci. >>Vie mi prosim niekto poradit ako by sa dal tento problem riesit? >>Rozmyslala som nad vlatnym TrustManagerom, ale neviem ci je to spravna >>cesta. > > > Spravna cesta je nakopat admina nekam nebo jej primo vykopat. Z vlastni > zkusenosti znam priklad, kdy neni dobre se spolehat pouze na to, ze onen > certifikat byl podepsan onim rootem. Bylo nutne odstrihnout jednoho > konkretniho nepohodlneho zamestnance s certifikatem. Kdyby stacil root CA, > musel by se pregenerovavat root CA asi tisic certifikatu jim podepsanych. > > A navic, neni problem preci KeyStore zaskriptovat. > -- > Oto 'tapik' Buchta, [EMAIL PROTECTED] > http://www.buchtovi.cz > > ______________________________________________________________________ > This email has been scanned by the MessageLabs Email Security System. > For more information please visit http://www.messagelabs.com/email > ______________________________________________________________________ -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Supercomputing Center Brno Martin Kuba Institute of Computer Science email: [EMAIL PROTECTED] Masaryk University http://www.ics.muni.cz/~makub/ Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775 --------------------------------------------------------------