From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Andrej Savelov To: ALT Linux Community Subject: Re: [Comm] Q: openssl =?koi8-r?b?ySDTxdLUycbJy8HU2SAtINTFz9LJ0SB2cy4=?= =?koi8-r?b?INDSwcvUycvB?= Date: Fri, 24 Dec 2004 16:19:24 +0600 User-Agent: KMail/1.6.2 References: <20041224090558.GA6900@immo.ru> In-Reply-To: <20041224090558.GA6900@immo.ru> MIME-Version: 1.0 Content-Disposition: inline Content-Type: text/plain; charset="koi8-r" Content-Transfer-Encoding: 8bit Message-Id: <200412241619.24646.as@tomo.nsc.ru> X-Scanned-By: milter-sender/0.55.730 (ns []); Fri, 24 Dec 2004 16:19:25 +0600 X-Virus-Scanned: by amavisd-new X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: community@altlinux.ru List-Id: Mailing list for ALT Linux users List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 24 Dec 2004 10:19:49 -0000 Archived-At: List-Archive: List-Post: Приветствую! On Friday 24 December 2004 15:05, Alexey I. Froloff wrote: > > 1. Нужно ли что-нибудь курочить в /etc/openssl/openssl.conf и как > кошерней это сделать? Можно раскомментировать subjectAltName=email:move Некоторые софтины (kmail в частности) хотят видеть мейл в AltName. > 2. Чем пользоваться для создания CA и сертификатов? Makefile из > /var/lib/ssl/certs/ или CA.pl? CA.pl. Он делает всё, что нужно. Единственно, по умолчанию, он ставит срок годности сертификатов один год, что нормально для конечных сертификатов, но не годится для корневого. Я его сразу подредактировал в районе -newca ... , поставил вместо $DAYS конкретно -days 3650. Приватный ключ демона не должен быть зашифрован, так что генерить его надо ./CA.pl -newreq-nodes Я отдельным серверам SSL не прикручивал, мне показалось удобнее поднять один stunnel на все случаи жизни. Но, поскольку все они пользуются openssl, то и конфигурируются схожим образом. Удачи! А.С.