On 2007.10.08 at 19:40:26 +0400, Alexey Pechnikov wrote: > В сообщении от Понедельник 08 октября 2007 19:31 Alexey Pechnikov написал(a): > > > Это еще зачем? Клиентский сертификат должен быть на клиенте. > > > А на сервере - только сертификат самого сервера, и сертификат CA, на > > > котором проверяются сертификаты клиентов. Он, естественно, должен быть > > > ОДИН на всех клиентов. Выписывать сертификаты можно на нормальной > > > машине. > > > > Публичный ключ клиента должен быть на сервере, иначе как проверить клиента? > > Если речь идет об американских центрах авторизации, то это никуда не годится > - > при проблемах с интернет или серверами американской компании рухнет все.
Чушь городишь. Совершенно необязательно производить проверку статуса сертификата OnLine. Хотя полезно - вдруг у клиента уже стырили его секретрый ключ и он успел уведомить о том центр сертификации, чтобы ключ отозвали. > Отечественные центры и того хуже - в каждом регионе свой центр сертификации, > а если мне надо работать с клиентами из разных регионов, что же, Ты заведи свой центр сертификации. Который будет удостоверять исключительно твоих клиентов. Тут варианта два - либо не предполагается оспаривание в суде ошибок аутентификации и авторизации, тогда вообще никого не волнует юридический статус оного центра, либо предполагается. Тогда необходимо чтобы с каждым клиентом имелся подписанный контракт в котором (или в прилагаемых технических условиях) написано, что стороны соглашаются признавать электронную подпись сгенерированную таким-то софтом и, в частности, подпись вот этого центра сертификации. У нас до сих пор все реальные сети обмена данными, использующие электронную подпись, работают именно так. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
