[rlug] Re: Certificate, CRL

Fri, 01 Nov 2002 06:53:27 -0800 

> Cred ca nu am explicat bine structura certificatelor (gigi si matusa nu
> sunt pe acelasi nivel). Treaba e asa:
> -Bunicu e root CA
> -si emite certificate pentru MAMA si MATUSA (care sunt "Intermediate CA")
> -MAMA emite pentru GIGI (care e "end user")

un CA emite crluri privind toate tipurile de certificate pe care le-a emis, 
indiferent de tipul lor

Sunt 2 cazuri (doar unul e corect, dar nu stiu daca am inteles corect):
1. rootCA---mama----matusa
                    | -------gigi

(adica gigi si matusa emise de catre mama) in cazul asta ce am spus mai 
devreme e corect. mama publica crluri in care descrie starea certifului si pt 
matusa si pt gigi (adica daca lipsesc din crluri, sunt valide)
Morala: gigi si matusa sunt verificate prin acelasi crl

2. root-----mama----gigi
      |------matusa

(adica mama si matusa pe acelasi nivel, emise de root) in cazul asta, crlul 
prin care verifici pe gigi este emis de mama, iar cel prin care il verifici 
pe matusa este emis chiar de catre root
Morala: gigi si matusa se verifica prin crluri diferite

> Si acum reformulez si intrebarea: un CRL emis de X se refera DOAR la
> certificatele emise de X, adevarat?

DA !!! absolut ! daca un rootCA emite certifuri, iar printre ele se afla alt 
CA(intermediar) crlul rootCAului va verifica doar un singur cert, si anume 
certul CAintermediar, nu si mai jos in lant (adica certuri emise de 
CAintermediar).

> Sau altfel: daca am un certificat C si vreau sa vad daca nu-i revocat, ma
> uit la issuer si caut (pe disc, net etc) CRL-ul emis de acest issuer;
> corect?

DA. vezi ca in fiecare certificat, trebuie sa existe (standardul x509 
blablabla - adica rfc 2459) un camp numit puncte de distributie:

de exemplu:
X509v3 CRL Distribution Points:  
     URI:http://pub.ra.qb.ro/crl/cacrl.crl
p-asta il vezi in Netscape, Opera, openssl, etc cand te uiti la cert

toate certurile emise si revocate de catre CAul care ti-a dat certul, se afla 
aici, (sau cel putin asa ar fi frumos din partea CAului :)


Anton

---
Pentru dezabonare, trimiteti mail la
[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/

Raspunde prin e-mail lui