On 28.3.2011, at 20:57, Dan Lukes wrote: > On 03/28/11 20:19, Miroslav Prymek: >> Jasne, existuji zpusoby, jak to implementovat, ale prijde mi, ze to obecne >> pravidlo "jsi certifikovany pomoci spravne CA, >> tudiz se muzes pripojit" je trochu divne. > > Pokdu ona CA existuje prave k tomuto ucelu a tudiz drzeni jejiho platneho > certifikatu overuje prave toto jedine pravo, tak by to divne byt nemuselo. >
Jesteze se stejne jako OpenVPN nechova kazdy software... Ja bych teda dvacet CA udrzovat nechtel :) >> revokaci certifikatu - teda imho zbytecne slozite > > Kdyz ona revokace k certifikatum tak nejak neoddelitelen patri - bez nich > nemohou certifikaty dobre fungovat nejen k tomuto ucelu, ale vlastne naprosto > k zadnemu, ktery me zrovna napada ... To jo, ja ten problem vidim trochu jinde: certifikuju stroj (CN=vencuv_notebook), nebo jeho nejakou roli (CN=vencuv_notebook_VPN_client)? Mne prijde docela logicky pouzivat co nejmin certifikatu (pokud to nema bezpecnostni dopad) a teda radeji certifikovat stroj nez roli. A pak je revokace k nicemu... M. -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
