[rlug] Re: Certificate, CRL

Alin Nastac Fri, 01 Nov 2002 06:49:42 -0800

Din cite stiu eu, orice CA poate emite CRL-uri vis-a-vis de certificatele emise de el. Aceste CRL-uri nu trebuiesc neaparat semnate de CA, ele putind fi semnate (cel putin in teorie) de un certificat special.
Datoria unui CA este sa furnizeze in atributele copiilor lui link-ul catre CRL.

Vorbesc din amintiri, asa ca nu dati cu pietre. Daca ce am spus mai sus este adevarat, nu vad de ce nu ar exista posibilitatea de a emite un CRL comun pt. mai multe CA-uri (indiferent care este inlantuirea lor) atita vreme cit numerele seriale SINT UNICE LA NIVEL GLOBAL(indiferent de CA-ul care le emite) si cita vreme clientul care cere CRL-ul are incredere in certificatul care semneaza CRL-ul.

[EMAIL PROTECTED] wrote:

On Fri, 1 Nov 2002, anton wrote:

On Friday 01 November 2002 02:51 pm, you wrote:

Altfel:
BUNICU

+MAMA

| +GIGI

+MATUSA

+CRL

Doresc sa verific certificatul lui GIGI. Normal (zic eu) ar fi sa il caut
in CRL-ul lui MAMA(care nu-l am). Am luat legatura cu vita de la suport de
la EI (ei fiind titularii pentru BUNICU, MAMA si MATUSA) si mi-au zis sa
verific bine mersi certificatul lui GIGI folosind CRL-ul lui MATUSA.

e bine, dar s-a exprimat gresit. nu tre sa folosesti CRLul pe care il emite matusa-ta, ci cel in care este verificata matusa. (mai precis crlul emis de maica-ta :). CRLul emis de maica-ta autentifica si pe matusa-ta si pe gigi (care sunt la acelasi nivel)

Cred ca nu am explicat bine structura certificatelor (gigi si matusa nu sunt pe acelasi nivel). Treaba e asa:
-Bunicu e root CA
-si emite certificate pentru MAMA si MATUSA (care sunt "Intermediate CA")
-MAMA emite pentru GIGI (care e "end user")

Si acum reformulez si intrebarea: un CRL emis de X se refera DOAR la certificatele emise de X, adevarat?
Sau altfel: daca am un certificat C si vreau sa vad daca nu-i revocat, ma uit la issuer si caut (pe disc, net etc) CRL-ul emis de acest issuer; corect?

OpenCA --- Toata stima, e superba !
www.openca.org
cu tot cu surse, iar madwolf (Masimilliano Pala - cel care a facut-o) te ajuta imediat, desi exista si lista de discutii
bineinteles ca in spate e tot openssl

daca vrei ceva mic si simplu tinyca (vezi pe freshmeat)

Citesc acum, chiar o sa ma arunc si pe listele lor... Totusi eu nu vreau sa ma fac CA. Eu vreau doar sa-l verific pe gigi. ;-)

Multumesc anticipat,
rudy

---
Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/

---
Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/

[rlug] Re: Certificate, CRL

Raspunde prin e-mail lui