On Tue, May 05, 2009 at 06:11:13PM +0400, Victor B. Wagner wrote:
> On 2009.05.05 at 16:26:09 +0300, Alexander Bokovoy wrote:
> > "Список, сестра!". 
> Лично у меня план действий такой:
> 
> 1. Запакетировать openssl-1.0. С тем чтобы она максимально
> соответстовала текущей полиси дистрибутива и перевод приложений на неё
> был возможно более безболезненным. 
мне как админу от сертификатов хотелось бы:
1. иметь "машинный" сертификат, которым автоматом бы подписывались все
остальные сервисные. подписать этот сертификат чем-нибудь другим, как я
помнимаю, можно и позже.

2. иметь возможность подставлять свои параметры в автогенерируемые
сертификаты: organization там, organizationUnit, ссылку на crl.

все пакеты, что используют ssl, при установке генерируют сертификаты.
как сделать эту генерацию интерактивной при установке пакета я не
представляю - rpm и все такое. но пусть хотя бы берут мои данные, а не
какой-нибудь cat << EOF | openssl req. и ещё и подпишутся напоследок
"машинным CA" :)

subject'ом таким сертификатам можно проставлять имя сервиса. ftp - для
ftp, mail - для MTA, etс. мыло - одно на всех мыло админа. suport@, или
личное.

> 2. Взаимодействие с мейнтейнерами
если что нужно сделать в gnutls - предлагайте. к сожалению, "как это
тикает" я не разобрался, но будет задача - будем думать :)


а в общем и целом, работающее россиская криптография - это было бы
здорово. опять таки как админ я всеми руками, временем и git.alt'ом за :) 
-- 
С уважением
Афанасов Дмитрий