форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Подробнее о сертификатах"
Сообщение от MayVortex (ok) on 16-Июн-04, 10:53  (MSK)
Приветствую! Примерно два года назад настроил mail сервер, сгенерил корневой сертификат, сгенерил клиентский сертификат, подписал его всё связал, запустил, раздал сертификаты - всё работало. Прошёл год... Закончился срок сертификатов, пришлось генерить новый корневой, новый клиентский и просить 1500 пользователей скачать новый сертификат... Сейчас подходит к концу второй год :) Количество ящиков уже превышает 5000 и я с ужасом думаю, что придётся их всех попросить поменять сертификат... И сколько будет звонков по поводу нерабочей почты :) Так вот, может я что-то не так делаю? Ведь это не нормально каждый раз просить пользователей скачивать новые сертификаты... Как это делается правильно? А ещё "я слышал" о такой штуке, как сервер сертификации... Эта штука как-то взаимодействует с сертификатами или это просто сервер, на котором сертификат можно заказать? Просто однажды я видел табличку: сертификат истёк, проверить обновление на сервере сертификации? Может мне тоже нужно открыть такую штуку? Как?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Подробнее о сертификатах"
Сообщение от lamerusha on 16-Июн-04, 11:07  (MSK)
Два вопроса - сервер ? ОС ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Подробнее о сертификатах"
	Сообщение от MayVortex (ok) on 16-Июн-04, 21:05  (MSK)
	>Два вопроса - сервер ? ОС ? stunnel, Linux RH 9
		Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Подробнее о сертификатах"
Сообщение от Alexander (??) on 16-Июн-04, 11:14  (MSK)
Смысл регулярной смены ключей заключается в том, что хакеры могут накопить статистику пар открытый-закрытый текст, которая потенциально может упростить взлом ключа. Ключ, который выдается почтовому серверу используется для подписывания и шифрования каждой почтовой сессии, которых за день могут быть многие тысячи. Этот ключ надо менять часто (скажем, раз в год). А ключи CA (а особенно, корневых CA!) можно менять и реже (например раз в 50 лет). Опасности это практически не представляет, т.к. используется этот ключ очень редко (для подписывания сертификатов для серверов). Если посмотреть на срок жизни корневых сертификатов всяких verisign'ов, он составляет 10-30 лет. Так что один раз перепишите всем корневой сертификат со сроком жизни 50 лет, и спокойно перевыпускайте сертификат почтового сервера раз в год, подписывая их одним и тем же ключом корневого CA.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Подробнее о сертификатах"
	Сообщение от MayVortex (ok) on 16-Июн-04, 21:09  (MSK)
	>Так что один раз перепишите всем корневой сертификат со сроком жизни 50 >лет, и спокойно перевыпускайте сертификат почтового сервера раз в год, подписывая >их одним и тем же ключом корневого CA. То есть я создаю корневой сертификат на 50 лет, создаю клиентский сертификат на 1 год, подписываю клиентский сертификат корневым и раздаю всем пользователям корневой сертификат, а клиентский скармливаю stunnel'у. По прошествии года я переподписываю клиентский (тот, что используется stunnel'ем) сертификат и всё продолжает работать? То есть пользователям не нужно ничего переустанавливать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Подробнее о сертификатах"
	Сообщение от Alexander (??) on 16-Июн-04, 22:58  (MSK)
	>То есть я создаю корневой сертификат на 50 лет, создаю клиентский сертификат >на 1 год, подписываю клиентский сертификат корневым и раздаю всем пользователям >корневой сертификат, а клиентский скармливаю stunnel'у. Именно так. > По прошествии года я переподписываю >клиентский (тот, что используется stunnel'ем) сертификат и всё продолжает работать? То >есть пользователям не нужно ничего переустанавливать? Через год надо будет выпустить _новый_ "клиентский" сертификат и подписать его старым корневым ключом. На клиентских машинах ничего перенастраивать не надо будет. А еще можно сделать сервер сертификатов, через который будут распространяться списки отзыва недействительных сертификатов, и если вас вдруг несправедливо обидят на работе, внесете туда корневой сертификат и потом будете смеяться, как новый админ будет регистрировать новые сертификаты на всех машинах :)))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Подробнее о сертификатах"
	Сообщение от MayVortex (ok) on 17-Июн-04, 10:13  (MSK)
	>А еще можно сделать сервер сертификатов Можно поподробней? Или где почитать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Подробнее о сертификатах"
	Сообщение от Alexander (??) on 17-Июн-04, 10:31  (MSK)
	>>А еще можно сделать сервер сертификатов >Можно поподробней? Или где почитать? Почитать книжки по криптографии. Ключевое слово - PKI (public key infrastructure). Стандарт на сертификаты - X.509. Короткое, но достаточно понятное описание общих принципов - в документации на OpenSSL.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.