Alexey Pechnikov -> debian-russian@lists.debian.org @ Mon, 8 Oct 2007 22:59:44 +0400:
>> Чушь городишь. Совершенно необязательно производить проверку статуса >> сертификата OnLine. Хотя полезно - вдруг у клиента уже стырили его >> секретрый ключ и он успел уведомить о том центр сертификации, чтобы >> ключ отозвали. AP> Никого он уведомлять не будет, просто позвонит мне. Соответственно, AP> я должен на уровне сервера OpenVPN мгновенно заблокировать доступ AP> этого клиента. Мгновенно у тебя в любом случае не получится. Время реакции человеческого мозга на сказанную фразу существенно ненулевое. openssl ca -gencrl -revoke путь_к_его_сертификату -out ca.crl && scp ca.crl openvpn_server:/etc/openvpn/ >> > Отечественные центры и того хуже - в каждом регионе свой центр >> > сертификации, а если мне надо работать с клиентами из разных регионов, >> > что же, >> >> Ты заведи свой центр сертификации. Который будет удостоверять >> исключительно твоих клиентов. Тут варианта два - либо не предполагается >> оспаривание в суде ошибок аутентификации и авторизации, тогда вообще >> никого не волнует юридический статус оного центра, либо предполагается. >> Тогда необходимо чтобы с каждым клиентом имелся подписанный контракт в >> котором (или в прилагаемых технических условиях) написано, что стороны >> соглашаются признавать электронную подпись сгенерированную таким-то >> софтом и, в частности, подпись вот этого центра сертификации. >> >> У нас до сих пор все реальные сети обмена данными, использующие >> электронную подпись, работают именно так. AP> Если центр сертификации не зарегистрирован как таковой, то любое AP> соглашение, подразумевающее это, не имеет юридической силы. Или AP> получать лицензию на работу в качестве федерального центра AP> сертификации, или получать сертификат в федеральном центре. В любом AP> случае более чем в одном регионе работать не удастся. ... спорить о вкусе устриц с теми, кто их ел... -- Artem Chuprina RFC2822: <ran{}ran.pp.ru> Jabber: [EMAIL PROTECTED] Творить - не делать! (c)Элхэ Ниеннах -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]