From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: To: ALT Devel discussion list Organization: Tyumen's University, Institute of Distance Education References: <45CBA28F.9020804@altlinux.org> <45CC33D1.5050609@altlinux.org> From: "Vladimir V. Kamarzin" Date: Fri, 09 Feb 2007 14:15:23 +0500 In-Reply-To: <45CC33D1.5050609@altlinux.org> (Mikhail Yakshin's message of "Fri, 09 Feb 2007 11:41:53 +0300") Message-ID: User-Agent: Gnus/5.1007 (Gnus v5.10.7) XEmacs/21.5-b27 (linux) MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit X-Virus-Scanned: ClamAV using ClamSMTP Subject: Re: [devel] I: TLS/SSL policy - broken packages X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 09 Feb 2007 09:15:23 -0000 Archived-At: List-Archive: List-Post: >>>>> On 09 Feb 2007 at 13:41 "MY" == Mikhail Yakshin writes: >> MY> unreal - несет в себе некий серверный самоподписанный сертификат с >> MY> такими параметрами: >> Это сертификат, используемый для линковки серверов и для secure-соединений >> клиентов. MY> Он точно не специфичен для какой-нибудь сети там, нет? Я плохо MY> представляю, может быть у IRC-серверов какая-то своя CA есть и, MY> соответственно, там должны поставлять какие-то особые сертификаты? Если MY> нет - тогда можно просто сгенерировать свежий. Ничего специфичного там нет. :) >> Предполагалось, что администратор сервера должен вместо него >> положить свой сертификат. А дефолтный действительно лучше заменить на >> какой-нибудь более подходящий, только не знаю как лучше сделать. MY> Ok, сейчас решим, не будет ли у нас единого способа генерации таких MY> тестовых сертификатов, и если будет - то все, возможно, заменится на MY> один макрос. Отлично. >> MY> freeradius - практически тот же вопрос, что и про MySQL. Пакет несет у >> MY> себя внутри примеры сертификатов и CA, но после прочтения >> MY> /etc/raddb/certs/README возникает вопрос - что будет, если положить ему >> MY> просто один сертификат, подписанный тем CA, что указан у нас в bundle? >> MY> Подхватится ли? >> >> Да, скорее всего подхватится. MY> =) На этот вопрос надо однозначно, т.е. либо посмотреть в код, либо MY> проверить. Положить "просто один сертификат" недостаточно, для конфигурирования EAP-TLS нужно подсовывать private_key_file (опционально указав в конфиге private_key_password), собственно сертификат, CA_file и dh_file. Пути к этим файлам настраиваются в конфиге, т.е. CA можно подсунуть какой нам надо. См. raddb/eap.conf, src/modules/rlm_eap/types/rlm_eap_tls/rlm_eap_tls.c -- vvk