[Comm] Q: openssl и сертификаты - теория vs. практика

[Comm] Q: openssl и сертификаты - теория vs. практика

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 1008 bytes --]

Что-то у меня совсем мозг заклинило по поводу сертификатов и
прочих CA...

В теории всё выглядит так:

Генерим CA Root для своей органицации (не хотим мы чужими CA пока
подписываться)

Генерим certificate request, подписываем его нашим CA и можем
использовать, например, в imaps...

На практике я с трудом понимаю как, например, проделать всю эту
процедуру для cyrus-imapd...  "Как" - имеется в виду "как
правильно это делать в ALT"...

1. Нужно ли что-нибудь курочить в /etc/openssl/openssl.conf и как
кошерней это сделать?
2. Чем пользоваться для создания CA и сертификатов?  Makefile из
/var/lib/ssl/certs/ или CA.pl?
3. Может я ещё чего забыл?  Например ca-bundle.crt с публичными
CA?

Спасибо.

P.S. На {docs,faq}.altlinux.ru ходил ;-)

-- 
Regards, Sir Raorn.
-------------------
Моим преподавателем астрономии был проф. М.М.Дагаев, в конце 70-х ему
было уже, наверное, за 70, он курил "Казбек" и ненавидел постоянную
Хаббла за ее непостоянство.
		-- aen in talk-room@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Q: openssl и сертификаты - теория vs. практика

[Aleksandr Blokhin]

Alexey I. Froloff wrote:

>Что-то у меня совсем мозг заклинило по поводу сертификатов и
>прочих CA...
>
>В теории всё выглядит так:
>
>Генерим CA Root для своей органицации (не хотим мы чужими CA пока
>подписываться)
>
>Генерим certificate request, подписываем его нашим CA и можем
>использовать, например, в imaps...
>
>На практике я с трудом понимаю как, например, проделать всю эту
>процедуру для cyrus-imapd...  "Как" - имеется в виду "как
>правильно это делать в ALT"...
>
>1. Нужно ли что-нибудь курочить в /etc/openssl/openssl.conf и как
>кошерней это сделать?
>2. Чем пользоваться для создания CA и сертификатов?  Makefile из
>/var/lib/ssl/certs/ или CA.pl?
>  
>

Я использовал этот Makefile.

-- 
Best regards
AB
--
                ... In nomine Altli, et Ctrli, et Spititus Deli, Reset!

Re: [Comm] Q: openssl и сертификаты - теория vs. практика

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 510 bytes --]

* Aleksandr Blokhin <sass@> [041224 12:15]:
> >Генерим CA Root для своей органицации (не хотим мы чужими CA пока
> >подписываться)

> >Генерим certificate request, подписываем его нашим CA и можем
> >использовать, например, в imaps...
> Я использовал этот Makefile.
Не нашёл я в нём как генерить CA Root и подписывать сертификаты.
А хочется.

-- 
Regards, Sir Raorn.
-------------------
По поводу демон: может быть стоит употреблять более нейтральное к
церкви: сервис? ;-)
		-- rider in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Q: openssl и сертификаты - теория vs. практика

[Vladimir V Kamarzin]

>>>>> On 24 Dec 2004 at 14:17 Alexey I Froloff writes:

>> >Генерим certificate request, подписываем его нашим CA и можем
>> >использовать, например, в imaps...
>> Я использовал этот Makefile.
 AIF> Не нашёл я в нём как генерить CA Root и подписывать сертификаты.
 AIF> А хочется.

Я воспользовался скриптом CA.sh из поставки openssl.

./CA.sh -newca
./CA.sh -newreq
./CA.sh -sign

-- 
	 // WBR, Vladimir V. Kamarzin, 2:5077/16.35

        if(ct<0)
                ct=2;        /* Shit happens.. */
        linux-2.6.6/drivers/net/wan/z85230.c

Re: [Comm] Q: openssl и сертификаты - теория vs. практика

[Andrej Savelov]

Приветствую!

On Friday 24 December 2004 15:05, Alexey I. Froloff wrote:
>
> 1. Нужно ли что-нибудь курочить в /etc/openssl/openssl.conf и как
> кошерней это сделать?

Можно раскомментировать 
subjectAltName=email:move 
Некоторые софтины (kmail в частности) хотят видеть мейл в AltName.

> 2. Чем пользоваться для создания CA и сертификатов?  Makefile из
> /var/lib/ssl/certs/ или CA.pl?

CA.pl. Он делает всё, что нужно. Единственно, по умолчанию, он ставит срок 
годности сертификатов один год, что нормально для конечных сертификатов, но 
не годится для корневого. Я его сразу подредактировал в районе  -newca ... , 
поставил вместо $DAYS конкретно -days 3650.
Приватный ключ демона не должен быть зашифрован, так что генерить его надо 
./CA.pl -newreq-nodes

Я отдельным серверам SSL не прикручивал, мне показалось удобнее поднять один 
stunnel на все случаи жизни. Но, поскольку все они пользуются openssl, то и 
конфигурируются схожим образом.

Удачи!
А.С.

Re: [Comm] Q: openssl и сертификаты - теория vs. практика

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 712 bytes --]

* Andrej Savelov <as@> [041224 13:20]:
> > 1. Нужно ли что-нибудь курочить в /etc/openssl/openssl.conf и как
> > кошерней это сделать?
> Можно раскомментировать 
> subjectAltName=email:move 
> Некоторые софтины (kmail в частности) хотят видеть мейл в AltName.
OK.

> > 2. Чем пользоваться для создания CA и сертификатов?  Makefile из
> > /var/lib/ssl/certs/ или CA.pl?
> CA.pl. Он делает всё, что нужно.
CA.pl всё делает в ./demoCA.  Что потом уносить в /var/lib/ssl ?
Точнее, "что именно надо потом переложить в /var/lib/ssl?"

-- 
Regards, Sir Raorn.
-------------------
Любое коллективное начинание не даст никакого эффекта, если от разговоров
не переходить к работе.
		-- pilot in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Q: openssl и сертификаты - теория vs. практика

[Andrej Savelov]

On Friday 24 December 2004 16:29, Alexey I. Froloff wrote:

> CA.pl всё делает в ./demoCA.  Что потом уносить в /var/lib/ssl ?
> Точнее, "что именно надо потом переложить в /var/lib/ssl?"

В /var/lib/ssl ничего уносить не надо. Демону понадобится корневой сертификат 
из demoCA/cacert.pem, его собственный сертификат из newcert.pem и приватный 
ключ из newreq.pem. В newreq.pem кроме ключа лежит ещё certificate request, 
его оттуда лучше убрать.
Дальше просто
cp demoCA/cacert.pem /var/imap/cacert.pem
cp newcert.pem /var/imap/server.pem
cp newreq.pem /var/imap/server-key.pem

И прописать в imapd.conf 
tls_ca_file:/var/imap/cacert.pem 
tls_cert_file:/var/imap/server.pem
tls_key_file:/var/imap/server-key.pem 

Удачи!
А.С.

Re: [Comm] Q: openssl и сертификаты - теория vs. практика

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 1024 bytes --]

* Andrej Savelov <as@> [041224 14:52]:
> > CA.pl всё делает в ./demoCA.  Что потом уносить в /var/lib/ssl ?
> > Точнее, "что именно надо потом переложить в /var/lib/ssl?"
> В /var/lib/ssl ничего уносить не надо.
Ну, генерить это всё я типа умею даже без помощи CA.pl ;-)

Меня интересует расположение сгенерённых файлов именно в ALT.

Всё что нагенерилось в ./demoCA так и остаётся там лежать в сухом
и тёплом месте (например на рабочей машине человека, раздающщего
сертификаты).  cacert.pem раздаётся клиентам и импортируется в
браузеры, при неоходимости встраивается в серверные сертификаты.

Клиентские и серверные серитификаты проходят через "./demoCA" под
видом new{cert,req}.pem, дальше выкладываются "куда надо" в виде
/var/lib/ssl/cert/${servicename}-*.pem

Я правильно понимаю политику?

-- 
Regards, Sir Raorn.
-------------------
> Главный плюс Пайотна - приучает по человечески оформлять
> исходники.
Главный минус -- пытается навязывать это и тем, кто в курсе?
		-- mike in community@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: Q: openssl и сертификаты - теория vs. практика

[Konstantin A. Lepikhov]

[-- Attachment #1: Type: text/plain, Size: 606 bytes --]

Hi Alexey!

Friday 24, at 04:37:03 PM you wrote:

<skip>
> Клиентские и серверные серитификаты проходят через "./demoCA" под
> видом new{cert,req}.pem, дальше выкладываются "куда надо" в виде
> /var/lib/ssl/cert/${servicename}-*.pem
> 
> Я правильно понимаю политику?
похоже, что так. По-крайней мере, большинство пакетов в Сизифе лезут
именно туда.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

[-- Attachment #2: smime.p7s --]
[-- Type: application/x-pkcs7-signature, Size: 2212 bytes --]

[Comm] Re: Q: openssl и сертификаты - теория vs. практика

[Konstantin A. Lepikhov]

[-- Attachment #1: Type: text/plain, Size: 2610 bytes --]

Hi Alexey!

Friday 24, at 12:05:58 PM you wrote:

> Что-то у меня совсем мозг заклинило по поводу сертификатов и
> прочих CA...
> 
> В теории всё выглядит так:
> 
> Генерим CA Root для своей органицации (не хотим мы чужими CA пока
> подписываться)
> 
> Генерим certificate request, подписываем его нашим CA и можем
> использовать, например, в imaps...
> 
> На практике я с трудом понимаю как, например, проделать всю эту
> процедуру для cyrus-imapd...  "Как" - имеется в виду "как
> правильно это делать в ALT"...
как описал перед этим, там и делать. В состав openssl есть прекрасный
скрипт CA.pl, который половину этой рутины делает за тебя. Подробности
CA.pl -help. Для cyrus/dovecot/monit лучше делать bundle сертификат, т.е.
"склеивать" ca-cert.pem, server-key.pem, server-cert.pem в один
сертификат. Например, у меня в cyrus прописано следующее:
/etc/cyrus-imapd/imapd.conf
...

tls_ca_file: /var/spool/cyrus-imap/server.pem
tls_cert_file: /var/spool/cyrus-imap/server.pem
tls_key_file: /var/spool/cyrus-imap/server.pem

Недостаток такого подхода - в случае продления сертификата/CA, придется
создавать server.pem по-новой.

Как я делал server.pem для cyrus:

1) запустил CA.pl -newca, заполнил/создал ca-cert.pem
2) запустил CA.pl -newcert, создал ключ/запрос на сертификат
3) запустил CA.pl -sign, подписал запрос, создал сертификат, добавил его в
базу.
4) избавился от пароля в ключе клиента (через openssl rsa -in key.pem -out
server-key.pem)
5) "склеил" server-key.pem, server-cert.pem, ca-cert.pem в один
server.pem, поставил его в cyrus.

аналогично делаются сертификаты для httpd/клиентов/кого-надо.

PS Для клиентов положил ca-cert.pem на видном месте, сгенерил
crl/настроил ocsp сервер.

> 
> 1. Нужно ли что-нибудь курочить в /etc/openssl/openssl.conf и как
> кошерней это сделать?
.cnf - это шаблон, который настраивается по-вкусу (т.е. под себя и свою
организацию), либо создать свой .cnf на его базе и указывать его openssl
при генерации. Самый кошерный способ - это поставить CA (например, OpenCA,
и делать все через него, но для 2-3х сертификатов имхо безполезно).

> 2. Чем пользоваться для создания CA и сертификатов?  Makefile из
> /var/lib/ssl/certs/ или CA.pl?
см. выше.

> 3. Может я ещё чего забыл?  Например ca-bundle.crt с публичными
> CA?
а зачем он тебе для генерации?
 
-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

[-- Attachment #2: smime.p7s --]
[-- Type: application/x-pkcs7-signature, Size: 2212 bytes --]

Re: [Comm] Re: Q: openssl и сертификаты - теория vs. практика

[Andrej Savelov]

On Friday 24 December 2004 16:53, Konstantin A. Lepikhov wrote:
...
> Как я делал server.pem для cyrus:
>
> 1) запустил CA.pl -newca, заполнил/создал ca-cert.pem
> 2) запустил CA.pl -newcert, создал ключ/запрос на сертификат

-newcert делает самоподписанный сертификат а не запрос. Имелось в виду 
-newreq?

> 3) запустил CA.pl -sign, подписал запрос, создал сертификат, добавил его в
> базу.
> 4) избавился от пароля в ключе клиента (через openssl rsa -in key.pem -out
> server-key.pem)

Можно было сразу -newreq-nodes

Удачи!
А.С.