Selbst signierte Certs entstehen dadurch, dass Du Dir eine eigene Root CA aufbaust. Siehe auch Artikel unter http://www.pug.org/index.php/X.509 (X.509 Kochbuch). Ein CA Zertifikat von cacert unterscheidet sich dadurch, dass ich den sign Request nicht selbst unterzeichne, sondern das von cacert machen lasse. Die Folge davon ist dann, dass alle, die das cacert Root Zertifikat installiert haben, dann auch Zertifikate akzeptieren, die von einer SubCA signiert wurden.
Sowas erfordert natürlich einen sehr sorgfältigen Umgang mit der SubCA, die ist letztlich dann genauso viel wert, wie die Root CA selbst. Auf der Homepage von cacert wird auch dargestellt, wie deren Root CA aufgebaut ist. Bei mir sieht das ähnlich aus, Das von cacert signierte Zertifikat dient nur dazu eine weitere SubCA zu siegnieren, mit der dann alle Serverzertifikate signiert werden. Passiert da mal der GAU, dann wird einfach dieses weitere SubCA Zertifikat widerrufen, ohne das das von cacert signierte Zertifikat ungültig wird. Dass der CA Zertifikatsserver kein Netzwerk hat und ausschließlich zum Signieren von Zertifikaten benutzt wird, ist sicher selbstverständlich. Da darf man nicht so pfuschen, wie bei einer selbst signierten CA. Auf jeden Fall wird bei cacert am Linuxtag viel Gesrächsstoff geben. Grüße Christian Marcel Silberhorn schrieb: > hoi Christian, > > wo ist dann noch der Unterschied (bzgl. Sicherheitsaspekt) zu nem > self-signed? > > muss dann der Client sowohl die Certs der SubCA als auch RootCA > installiert haben um dann ohne "Fehlermeldung" drauf zu zu greifen? >
-- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
