On 2007.10.10 at 01:47:26 +0400, Alexey Pechnikov wrote: > В сообщении от Вторник 09 октября 2007 21:54 Nicholas написал(a): > > Насчет автоматизации создания сертификатов - еще подсказали > > tinyca.sm-zone.net - не пробовал, а EJBCA замечательная вешь (GPL2). > > tinyca есть пакетом в дебиане, но вроде как кривое поделие - требует > обязательно указывать пароль для каждого сертификата. Интересно, как по
Не бывает. Как упыря. В смысле пароля у сертификата. Пароль бывает у секретного ключа. Или у PKCS12, который такой контейнер для сертификата И секретного ключа. Секретный ключ это отдельная сущность лежит в отдельном файле, и поменять у него пароль, в том числе и снять его совсем с помощью команд openssl rsa или openssl dsa. Из pkcs12 нужно потом всё равно потом извлекать сертификат и ключ в PEM-формате. Вот при извлечении можно указать что ключ без пароля сохранять. > мнению создателей tinyca будет происходить запуск сервера и клиента - если > сертификат создан с паролем, так при запуске OpenVPN спросит пароль, клиент По мнению создателей tinyca админ сервера знает о криптографии достаточно, чтобы самостоятельно снять пароль с секретного ключа. если считает, что это безопасно, или воспользоваться опцией --management-query-passwords у OpenVPN, если считает что ключ на диске сервера находится в недостаточной безопасности. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
