В Wed, 18 Apr 2018 23:09:45 +0300 Artem Chuprina <[email protected]> пишет:
> artiom -> [email protected] @ Wed, 18 Apr 2018 > 22:46:27 +0300: > > > Собственный CA имеет смысл, вроде. > > Вопрос только в том, насколько сложно (LDAP тоже казался простым, > > но свои особенности у каждого сервиса сожрали уйму времени)? > > В свое время в сети гуглился документ SSL Certificates Howto. Там было > довольно грамотно расписано. Устарело оно лет на двадцать. Осталось на уровне X509v1. > Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN > пользоваться. Это сделанный по тому рецепту комплект скриптов для > своего CA. Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30 пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов. Возникла необходимость поднять парочку Name-based https-хостов на одной машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa. Вообще никаких extension не умеет. > Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание > устройства PKI по схеме X509 (в PGP, например, схема другая). В > упомянутом Howto изложение, помнится, было. Ага было. На уровне RFC 2459, принятого в прошлом веке. А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и то с оглядкой на 6818. Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом современных реалий. Чтобы и X509v3 умело, и эллиптические кривые понимало, причем не только в виде ECDSA. А Шаплова заставим новый Certificates HOWTO написать. -- Victor Wagner <[email protected]>
