From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <vvk@vvk.pp.ru>
To: ALT Devel discussion list <devel@lists.altlinux.org>
Organization: Tyumen's University, Institute of Distance Education
References: <45CBA28F.9020804@altlinux.org> <m33b5fvp54.fsf@vvk.distance.ru>
	<45CC33D1.5050609@altlinux.org>
From: "Vladimir V. Kamarzin" <vvk@altlinux.ru>
Date: Fri, 09 Feb 2007 14:15:23 +0500
In-Reply-To: <45CC33D1.5050609@altlinux.org> (Mikhail Yakshin's message of
	"Fri, 09 Feb 2007 11:41:53 +0300")
Message-ID: <m3y7n7u1xw.fsf@vvk.distance.ru>
User-Agent: Gnus/5.1007 (Gnus v5.10.7) XEmacs/21.5-b27 (linux)
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: ClamAV using ClamSMTP
Subject: Re: [devel] I: TLS/SSL policy - broken packages
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: ALT Devel discussion list <devel@lists.altlinux.org>
List-Id: ALT Devel discussion list <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
	<mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 09 Feb 2007 09:15:23 -0000
Archived-At: <http://lore.altlinux.org/devel/m3y7n7u1xw.fsf@vvk.distance.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

>>>>> On 09 Feb 2007 at 13:41 "MY" == Mikhail Yakshin writes:

>>  MY> unreal - несет в себе некий серверный самоподписанный сертификат с
>>  MY> такими параметрами:
>> Это сертификат, используемый для линковки серверов и для secure-соединений
>> клиентов.
 MY> Он точно не специфичен для какой-нибудь сети там, нет? Я плохо 
 MY> представляю, может быть у IRC-серверов какая-то своя CA есть и, 
 MY> соответственно, там должны поставлять какие-то особые сертификаты? Если 
 MY> нет - тогда можно просто сгенерировать свежий.

Ничего специфичного там нет. :)

 >> Предполагалось, что администратор сервера должен вместо него
>> положить свой сертификат. А дефолтный действительно лучше заменить на
>> какой-нибудь более подходящий, только не знаю как лучше сделать.
 MY> Ok, сейчас решим, не будет ли у нас единого способа генерации таких 
 MY> тестовых сертификатов, и если будет - то все, возможно, заменится на 
 MY> один макрос.

Отлично.

>>  MY> freeradius - практически тот же вопрос, что и про MySQL. Пакет несет у
>>  MY> себя внутри примеры сертификатов и CA, но после прочтения
>>  MY> /etc/raddb/certs/README возникает вопрос - что будет, если положить ему
>>  MY> просто один сертификат, подписанный тем CA, что указан у нас в bundle?
>>  MY> Подхватится ли?
>> 
>> Да, скорее всего подхватится.

 MY> =) На этот вопрос надо однозначно, т.е. либо посмотреть в код, либо 
 MY> проверить.

Положить "просто один сертификат" недостаточно, для конфигурирования EAP-TLS
нужно подсовывать private_key_file (опционально указав в конфиге
private_key_password), собственно сертификат, CA_file и dh_file. Пути к этим
файлам настраиваются в конфиге, т.е. CA можно подсунуть какой нам надо.

См. raddb/eap.conf, src/modules/rlm_eap/types/rlm_eap_tls/rlm_eap_tls.c

-- 
vvk