On Thu, May 07, 2009 at 12:38:36PM +0400, Victor B. Wagner wrote:
> On 2009.05.07 at 10:13:51 +0400, Afanasov Dmitry wrote:
> > все пакеты, что используют ssl, при установке генерируют сертификаты.
> 
> Что вообще говоря, не обязательно. В Debian, например, есть отдельный
> пакет ssl-cert, который генерирует один-единственный сертификат на
> hostname данной машины, которым потом польузются все установленные
> сервисы.
это кстати вопрос. на данынй момент mod_ssl для apache, pure-fptpd,
courier-imap, наверняка ещё кто-то, используют независимые сертификаты.

вопрос к мантейнерам:
1. оставим как есть, каждой твари по сертификату
2. сделам один сертификат на всех.

в первом случае, как я говрил, было бы неплохо подписывать сервисные
сертификаты "машинным".

во втором случае ничего подписывать не надо.

реализовать можно наверное через связку макрос+скрипт, как %post_service,
например, реализован. к примеру, макрос %add_ssl_cert name будет вызваеть
этот самый скрипт добавления сертификата. скрипт будет шастать по
openssl.cnf, или что нам там ещё взбредет.

-- 
С уважением
Афанасов Дмитрий