Rejaine Monteiro said:
>
> Thiago,
>
> É isso mesmo. Quero fazer um CA, como vc mesmo disse...
> Vou fazer uma pergunta que talvez seja estúpida, mas vai lá...
> Será que dá para ter, por exemplos, chaves geradas localmente no OpenSSL
> e assinadas por uma CA externa?
Olá Kézio
É exatamente assim que funciona o processo de certificação.
De maneira simplificada:
- cada certificado possui uma chave pública e uma chave privada,
exatamente como o PGP/GPG
- como o nome diz, a chave pública é distribuída a todos, enquanto que a
privada você guarda a sete chaves (inclusive, existem dispositivos como os
smartcards que guardam a chave privada para você)
- a autoridade certificadora (CA) publica a parte pública em seu site, nos
browsers, etc.
- quando você "cria" um certificado, você basicamente cria as chaves
públicas e privadas;
- você envia à CA um Certificate Signing Request: isto é, um arquivo que
eu não sei direito explicar o que é mas que identifica o seu certificado;
- a CA _assina_ o seu CSR usando a chave privada e devolve para você;
- a partir daí, o seu certificado estará assinado pela CA (exatamente como
PGP/GPG)
- a diferença é que, na estrutura, o usuário pode "confiar" no CA e, por
tabela, todo certificado assinado pelo CA será automaticamente confiado
também.
Conclusão: a sua senha e a sua chave privada nunca saíram da sua posse e
nunca sairão. A CA serve apenas para dizer aos outros "verifiquei que essa
pessoa existe de verdade e, portanto, o certificado corresponde a ela".
O problema é quando o CA não verifica que a pessoa é quem diz ser.
--
Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org
PGP/GPG: 0x6EF45358; fingerprint:
E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
